секреты в Vault, межсервисную авторизацию через Oauth2, разрабов из прода убрать, доступ девопсов через PAM, общий чеклист - OWASP ASVS 4.0

спасибо за рекомендации!

ну сканеры в CI/CD и всякое такое

Правда один только "девопсов через PAM" выйдем в копейку)

это не так дорого

Смотря как обернуть. У меня нищебродский вариант с Password manager PRO, огонь.

можно и на коленках сваять

Видел эти ваши валликсы и Cyberarc

В нормальном проде, девопсу нечего околачиваться.

такой большой, а в сказки веришь. ©

Я их пишу)

🍻 ;-)

Пользовательские сказки (с)

Тогда уж программерские, они у нас пользователи

Гайз, подскажите пожалуйста, а как и главное каким инструментом вы пользуетесь для учёта всех багов и уязвимостей в вашем коде, имейджах, инфраструктуре? Приведу пример - вот мы начали юзать сонарКуб для сканирования нашей кодовой базы у которой 2М строк и 3к багов и 1к уязвимостей. Далее просканировли имейджи и тоже нашли три десятка уязвимостей. Про инфру я вообще молчу. Но при этом проект живёт и развивается и я понимаю, что текущие баги и уязвимости не смогут быть пофикшеными за какое-то вменяемое кол-во времени, но хочу хотя бы начать учитывать и реагировать на новосозданные уязвимости.
Что из инструментов можно попробовать, что используете вы? Это siem? Или уже есть что-то более продвинутое?
Что хочется - вменяемый АПИ, возможность быть интегрированным с тем же сонаркубом. Возможно, отдача каких-то метрик, алерты(?) Ну, отчёты там, графики. Возможно это будет не опенсорс, но хотелось бы.

Если что, сильно не пинайте, я пока только учусь (с)

Мы долго-долго искали, искали.. тестили, тестили и в итоге своё сделали :)

Defectdojo

Есть еще Vulcan и ThreadFix, но вроде не представлены на рынке (

И не совсем open source