NR
Для маленьких компаний - это не очень принципиально, а для крупных критично
Size: a a a
2019 December 17
bc
И перечень серверов софта, и ip и с версиями. И неебет его ваш Кубирнэтис, микросервисы и контейнеры живущие 10 минут. Перечень!!!
С
И перечень серверов софта, и ip и с версиями. И неебет его ваш Кубирнэтис, микросервисы и контейнеры живущие 10 минут. Перечень!!!
вы же не рандомное ПО запускаете в кубернетесе, всё достаточно несложно перечисляется
GG
Как хотите уточняйте, но когда вы со своей IaC и репами придете к аудитору PCI DSS, он вам скажет - схему сети мне принес, быстро
а в чем проблема нарисовать схему сети по IaC?
С
даже kubectl get pod даёт что-то вроде перечня, даже с версиями
GG
вопрос реально интересный
GG
И перечень серверов софта, и ip и с версиями. И неебет его ваш Кубирнэтис, микросервисы и контейнеры живущие 10 минут. Перечень!!!
и предлагаешь что - законсервировать версии софта железобетонно?
GG
ведь безопасность - это не про фикс версии, а про то, что мы катим правильные безопасные версии, а потом они перестают быть таковыми и мы катим исправленные
GG
либо я вообще в этом мире ничего не понимаю
bc
и предлагаешь что - законсервировать версии софта железобетонно?
А че вы меня то спрашиваете. Вот в PCI Counsil и пишите, спрашивайте, когда они головы из песка вынут и к DevSecOpsу приобщатся
bc
Я показываю несостоятельность тезисов на слайде примерами из собственного опыта.
GG
предлагаю написать петицию. Организуешь? )
IA
ведь безопасность - это не про фикс версии, а про то, что мы катим правильные безопасные версии, а потом они перестают быть таковыми и мы катим исправленные
расскажи об этом ФСТЭКу
GG
фстэк это вообще отдельная история
IA
на самом деле, имхо, если в вашем софте есть версионность, то просто указываешь последнюю стабильную и PCI похер
GG
а регламентами недостаточно прикрыться?
GG
ну, типа - вот у нас регламент выкатки, регламент проверки релизов и пр.
GG
GG
безопасная разработка, все дела. Никаких паролей в репозиториях и прочей дичи