Телеграмм чат группы devsecops

Size: a a a

DevSecOps - русскоговорящее сообщество

569 membersпожаловаться на группу

2020 September 13

Yury Shabalin in DevSecOps - русскоговорящее сообщество

😱

источник

18:28пожаловаться #1

Roman Rusakov in DevSecOps - русскоговорящее сообщество

источник

18:46пожаловаться #2

Sergey Trapeznikov in DevSecOps - русскоговорящее сообщество

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Надо тока реплики расставить на картинке выше, ldap+scripts vs sso+roles

источник

18:48пожаловаться #4

Roman Rusakov in DevSecOps - русскоговорящее сообщество

источник

18:53пожаловаться #5

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Как то так)

источник

18:53пожаловаться #6

Roman Rusakov in DevSecOps - русскоговорящее сообщество

Вообще когда роли и группы готовы и управляются кодом желательно ну типа там когда никогда их поправить + sso это ж песня, не представляю зачем делать как то по другому

источник

19:01пожаловаться #7

2020 September 14

Denis Denisov in DevSecOps - русскоговорящее сообщество

https://habr.com/ru/company/swordfish_security/blog/518758/

Хабр

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Привет, Хабр! Я консультант по информационной безопасности в Swordfish Security по части выстраивания безопасного DevOps для наших заказчиков. Я слежу за тем, ка...

источник

10:22пожаловаться #8

Anton in DevSecOps - русскоговорящее сообщество

Denis Denisov

https://habr.com/ru/company/swordfish_security/blog/518758/

Хабр

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Круто, спасибо

источник

10:47пожаловаться #9

P-

Pavel - in DevSecOps - русскоговорящее сообщество

Denis Denisov

https://habr.com/ru/company/swordfish_security/blog/518758/

Хабр

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

AnimatedSticker.tgs

(9.44 Кб)

источник

10:57пожаловаться #10

Sergio Keler in DevSecOps - русскоговорящее сообщество

Вопрос на засыпь.
Есть сеть и в ней есть openvpn и далее линухи везде.
Туда ходит некий клиент, за которым другая сеть и он типа отдаёт её в сеть опенвпнного сервера см выше.
Трафик туда-сюда ходит.
Извращенец хочет на шлюзе прописать правило DNAT и пробросить ssh на хост, который за тунелем.
рутер за тунелем имеет свой def gw, а у пакета-то сорс "какой-то из инета" и ответ улетает в def gw клиента опенвпн.
это лечится двумя строчками в iproue2, но... только для местного трафика. а тут типа рутер, он чужой трафик должен как-то не в defgw отправлять.
если сделать def gw для затунельной сетки в тунель, то надо тамошнему нату как-то оэто объяснять тк это странный чужой трафик.

я отбился ssh -J прокся
но может есть какое-то решение?

источник

13:20пожаловаться #11

Sergio Keler in DevSecOps - русскоговорящее сообщество

источник

13:25пожаловаться #12

Dmitry Moiseev in DevSecOps - русскоговорящее сообщество

Ищу AppSec инженера и InfoSec manger в команду с релокацией в Таллин.

источник

15:38пожаловаться #13

St in DevSecOps - русскоговорящее сообщество

Dmitry Moiseev

Ищу AppSec инженера и InfoSec manger в команду с релокацией в Таллин.

Было бы интересно знать требования)

источник

15:44пожаловаться #14

Petr Rozhkovskiy in DevSecOps - русскоговорящее сообщество

Dmitry Moiseev

Ищу AppSec инженера и InfoSec manger в команду с релокацией в Таллин.

Можно в личку требования

источник

15:45пожаловаться #15

Dmitry Moiseev in DevSecOps - русскоговорящее сообщество

AppSec

Responsibilities
Comprehensive security audit of the mobile application and web application
Lead engineering for preventative solutions to solve application security issues at their root.
Analyzing source code, both with manual and automated (SAST, DAST, IAST and RASP) tools for security-related weaknesses and common problems.
Correctly balance security risk and product advancement.
Partner with development teams to ensure risk is understood as well as to track and validate all remediation tasks.
Internal audit and data access management in develpment life cycle.

Requirements
Knowledge of integrating software security into the software development cycle.
Understanding of how to develop secure coding guidelines and how to train developers on those guidelines.
Speaking the engineering team’s language and demonstrating real, practical risk and value.
Understanding of OWASP Top 10 and CWE threats, methods for their elimination and protection against them.
Proficiency with AWS.

источник

15:49пожаловаться #16

Dmitry Moiseev in DevSecOps - русскоговорящее сообщество

InfoSec manager

Resposibilities
Define, implement and maintain company security policies and procedures.
Coach, mentor, and provide relevant security training to staff.
Help to respond to security-related incidents and provide a thorough post-event analysis.
Identify technical solutions, conduct evaluation and implement technical solutions.
Advice on security related features regarding the product.

Requirements
Knowledge of ISO27001, PCI-DSS
Understanding of how to develop secure coding guidelines and how to train developers on those guidelines.
Speaking the engineering team’s language and demonstrating real, practical risk and value.
Proficiency with AWS.

источник

15:53пожаловаться #17

2020 September 15

Igor in DevSecOps - русскоговорящее сообщество

парни, как в 2020 вешают минимальную защиту на nginx от перебора, с автобаном злодеев?

лет 10 назад я бы прикрутил modsecurity или fail2ban с регулярками, но надеюсь, что мы это давно уже забыли. Потрогал немезиду WAF, но оно тащит миллион питоньих пакетов, включая целый pandas, что не круто.

А что есть ещё?

источник

07:38пожаловаться #18

St in DevSecOps - русскоговорящее сообщество

А чем modsecurity не нравится?

источник

08:08пожаловаться #19

St in DevSecOps - русскоговорящее сообщество

Проект развивается

источник

08:08пожаловаться #20