В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

DevSecOps - русскоговорящее сообщество

308 membersпожаловаться на группу
2019 November 24

GG

George Gaál in DevSecOps - русскоговорящее сообщество
> Вторая - фасилитирующая команда которая помогает овладеть этими тулами и построить процессы
для этого внутри каждой команды должен быть человек (а лучше несколько), которые будут изнутри команды это развивать
источник
13:56пожаловаться#1

VK

Vitaly Khabarov in DevSecOps - русскоговорящее сообщество
George Gaál
1 - на питоне, 2 - на голаген, 3 -на джава - maven, 4- на джава -gradle
Какие ограничения это накладывает? Базовый SAST провести можно. Какой-нить автоматизированный пентест ИМХО тоже.

Да, решение будет хуже чем полностью inhouse решение написаное миллионом разработчиков. А оно надо?
источник
13:56пожаловаться#2

GG

George Gaál in DevSecOps - русскоговорящее сообщество
потому что у безопасников один kpi, у разрабов и продактов другой.
источник
13:57пожаловаться#3

GG

George Gaál in DevSecOps - русскоговорящее сообщество
можно поставить задачу "внедрить SAST везде", но если мы оперируем цифрами, а не духом, то это будет работа чисто для отчетности
источник
13:57пожаловаться#4

V

Vit in DevSecOps - русскоговорящее сообщество
George Gaál
потому что у безопасников один kpi, у разрабов и продактов другой.
KPI не нужны :)
источник
13:57пожаловаться#5

GG

George Gaál in DevSecOps - русскоговорящее сообщество
sast есть? есть ! деньги освоены? освоены! безопасность появилась? ДА ХРЕН ТАМ
источник
13:57пожаловаться#6

VK

Vitaly Khabarov in DevSecOps - русскоговорящее сообщество
George Gaál
> Первая - платформенная команда которая предоставляет тулы, в пределе это AWS, GCP или Heroku.
это сервис и любой продакт имеет право не пользоваться этим внутренним сервисом, а, например, размещаться во внешнем облаке
Вопрос политики компании и управления рисками. Готовы пользоваться внешними сервисами и связанными с этим рисками - ок. Мне кажется вопрос лежит в области осведомленности и принятия решений, а не тулов и командных топологий
источник
13:58пожаловаться#7

GG

George Gaál in DevSecOps - русскоговорящее сообщество
согласен, что вопрос не В ОБЛАСТИ ТУЛОВ - это так
источник
13:58пожаловаться#8

GG

George Gaál in DevSecOps - русскоговорящее сообщество
но командная топология и зоны ответственности - важны
источник
13:58пожаловаться#9

VK

Vitaly Khabarov in DevSecOps - русскоговорящее сообщество
George Gaál
sast есть? есть ! деньги освоены? освоены! безопасность появилась? ДА ХРЕН ТАМ
да тоже самое с девопсом. Потому есть люди которые обеспечивают тулы, а есть те кто помогает ими овладеть.
А есть политика компании (административное решение вопроса) или осознаность команд которые требуют решения вопроса с безопасностью.
источник
13:59пожаловаться#10

VK

Vitaly Khabarov in DevSecOps - русскоговорящее сообщество
Чаще, по моему опыту, тулы и регламенты сложны для понимания и разработчики и рады бы этим всем воспользоваться, но "сложно" и "непонятно". Это не про безопасность, это про любой кусок IT.

Так давайте ребятам помогать =)
источник
14:00пожаловаться#11

GG

George Gaál in DevSecOps - русскоговорящее сообщество
> по моему опыту, тулы и регламенты сложны для понимания и разработчики и рады бы этим всем воспользоваться, но "сложно" и "непонятно"

скорее - неудобно, а, значит - не нужно
источник
14:01пожаловаться#12

V

Vit in DevSecOps - русскоговорящее сообщество
George Gaál
> по моему опыту, тулы и регламенты сложны для понимания и разработчики и рады бы этим всем воспользоваться, но "сложно" и "непонятно"

скорее - неудобно, а, значит - не нужно
Суть не меняется. Нужно сделать Удобно:)
Уважаемый @Mr_R1p на с воем выступлении на DevOpsConf вроде тоже про это говорил
источник
14:31пожаловаться#13

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Согласен
источник
14:45пожаловаться#14

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Все что не удобно будет саботироваться
источник
14:45пожаловаться#15

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
И, возможно, расскажу, как сделать удобнее)
источник
14:48пожаловаться#16

YS

Yury Shabalin in DevSecOps - русскоговорящее сообщество
*как можно это сделать
источник
14:48пожаловаться#17

rd

rus dacent in DevSecOps - русскоговорящее сообщество
@kvdrt не литература в прямом смысле, но очень хорошая подборка.
источник
14:53пожаловаться#18

rd

rus dacent in DevSecOps - русскоговорящее сообщество
2019 DSO Reference Architectures.pdf
(134.99 Мб)
источник
14:53пожаловаться#19

rd

rus dacent in DevSecOps - русскоговорящее сообщество
DevSecOps Reference Architectures 2019

sonatype сделала очень крутую подборку, как устроен DevSecOps по мнению различных людей и компаний. Практически каждый слайд содержит ссылку на статью или видео. Это, пожалуй, лучший обзорный материал такого плана за последнее время, который я видел.
источник
14:53пожаловаться#20