Да, мне хорошо зашла. Я англ. прочитал, до кучи и русскую приобрёл, сейчас перечитываю. Закрепляю так сказатб =))

sonatype фу-фу-фу. Я бы от жифрога ожидал аналогичного

и вообще вы видели ценники на решения полного цикла?

Там не про их продукты =)

Но это чисто про техническую часть. Самое "лёгкое и на поверхности".
А как общаться с командами, как встраивать в из процессы, как им продавать и т.п... вот это только, возможно, в книгах или на практике, ну или ещё где.

Кроме тулинга ещё куча пластов же

> Кроме тулинга ещё куча пластов же

Согласен.

Я на митапе говорил и тут, пожалуй, повторюсь, что без каких-то инициатив, которые дают какие-то количественные/качественные оценки, вряд ли удасться переубедить руководство/разработчиков и т.д.

Для меня и отдельного DevSecOps не существует. Это те же процессы, как по мне, которые уже есть в компании, которые улучшаются с помощью сосурити. 5-10 лет назад мне приходилось чуть ли не доказывать, что тесты нужны, а сейчас я этого уже не встречаю. Так и с соурити же происходит. Можно представлять, что какие-то базовые штуки как часть тестирования (естественно, есть оговорки про ручной пентест и прочие багбаунти). Ведь по сути так и есть. Чем запуск тестов к вашей аппликухе в вашем CI будет отличаться от проверки Dockerfile hadolint'ом или docker образа clair'ом или проверки на древность зависимостей? Да в общем-то и ничем.

соглашусь и нет

просто просканировать гадолинтом недостаточно. К тому же, может и докерфайлов нет.

или они формируются на лету. Но это все детали.

Это всё абстрактные примеры =)

clair же более интересная вещь, т.к. она очень хорошо иллюстрирует концепцию, что безопасность это процесс

а не мгновенный результат

Так и DevOps - это про процесс, а не конечная точка, после которой все, больше ничего делать не надо и у нас пони и радуга

девопс и про процесс, и про методологию, и про ценности, и про коллаборацию

ИБ - это более узкая история.

что-то одни общие слова. а есть тут кто, у кого pipeline фейлится при ругани того же clair? так фейлится, чтоб даже в тест нельзя было выехать.

хер там

у меня clair очень красиво складывался, когда ты на своих собственных имиджах летишь. И даже если centos:7 там в базе - клэр все равно регулярно падает. Именно что падает, а не дает отчет с красненьким

а чё так? :-)

ну, это рекомендательная система, а не ...... та, которая может что-то запретить