a
Увы, докер у нас в проде пока не используется. Прежде всего, потому что никто не знает, как его скрестить с PCI DSS не формально.
Size: a a a
2021 July 18
a
А что значит 10 элементов? Каждый раз выбрать каждый из этих элементов случайно?
MG
Каждый раз надо выбирать по 10 случайных элементов из этого массива
a
DF
А какая связь? У нас докер и pci dss во все щели
a
А еще гляньте perldoc -f rand
a
Как обеспечивается что рут имея доступ к сокету докера не может взять секреты ДДК из памяти?
MG
Спасибо, про rand я в курсе, думал, может есть более быстрые решения
a
В смысле? Это и так быстрое решение. 10 запросов к генератору ПСЧ - это относительно быстро. Вы думали одним запросом обойтись? Ну так это означает, что вам надо было бы написать свой ГПСЧ, а на перле он медленнее чем на сях.
DF
Потому что их там нет :) приложение не работает с ддк напрямую. Для каких-то операций где оно нужно они получаются из внешнего сервиса и не хранятся
MG
Т. Е. быстрее random'а будет только на C это написать?
a
Тогда PCI DSS тут и не причём. Но вообще где-то этот секрет хранится. И там его надо защищать. Я так понял, что везде PCI DSS с докером скрещивают формально. Типа, "админы у нас постоянно не сидят на хостах с докером, которые находятся в продакшне".
a
На C вам придется оптимизировать аллокацию памяти для строк. На перле она уже оптимизирована
SZ
По индексу
SZ
Есть более быстрые
VO
зачем её (аллокацию памяти для строк) не только оптимизировать, а вообще на сях использовать?
DF
Ну тут вопрос в том, что если у админов есть рут, а он у них есть всегда, то уже неважно докер там или не докер - секреты всегда можно получить. Только если tpm юзать.
a
Это правда, но вот без докера это проще: пропатченные инструменты ОС обеспечивают RBAC на установку софта на хосты. А всяких штук типа strace или gdb на хостах и так нет. Т.е. админы могут украсть, но только по предварительному сговору. А админ с доступом к докеру может всё, что нужно поставить без каких-то ограничений, соответственно, он может получить инструмент для заглядывания в память хоста.
a
Судя по вашим вопросам, у вас где-то тормоза выше уровнем в алгоритме.
АК
Рандомная предсортировка и далее просто выбор по индексу.