Внедрить DevSecOps и не сойти с ума / Олег Казаков / Dump 2023
Внедрить DevSecOps и не сойти с ума: команды с разными процессами, неоднородный стек и ограниченный бюджет, Олег Казаков, CTO в Spectr
Спикер рассказал о том, как интегрировать практики DevSecOps в процесс разработки в условиях неоднородности стека/архитектуры/инфраструктуры/процессов реализуемых продуктов. Рассмотрел основные классы инструментов автоматической проверки безопасности и процесс внедрения наиболее популярных инструментов: Gitleaks, Trivy, OWASP ZAP и др.
В докладе много практического опыта, примеров конфигов и отчетов.
Доклад рассчитан на DevOps-инженеров, архитекторов, тимлидов, специалистов по ИБ. В результате будет сформирован пример CI/CD-пайплайна, который можно переиспользовать с минимальными доработками.
00:00 Представление спикера, предыстория
1:28 DevSecOps: почему мы решили его внедрить?
3:34 Этап 1: Pre-commit Checks
4:03 Secret Detection: цели и варианты его использования
11:01 Ограничения Secret Detection
11:40 Активная реакция на обнаруженные секреты
13:21 Вывод отчета о задаче
14:21 Проблемы сканирования в CI и специфика GitLab / Удаляем код из истории GitLab
16:48 Этап 2: Commit-time Checks
19:07 Внедряем инструменты SAST
21:22 Сложности SAST
22:32 Dependency Scanning и пакеты уязвимостей Git
24:55 Этап 3: Post-build Checks
25:50 Добавляем в проект сборку артефакта
27:36 Управление уровнем отслеживания уязвимостей
30:33 Этап 4: Test-time Checks
32:30 Тестируем WebGoat
34:32 Что с бэком?
35:43 Этап 5: Deploy-time Checks
36:30 Обзор решений от GitLab
38:28 Делимся примером реализации
39:06 Вопросы из зала
1 view
1353
369
2 months ago 00:22:09 1
Антон Гаврилов, «Инфосистемы Джет»: внедри DevSecOps или умри — правильно ли ставить так вопрос
2 months ago 00:19:17 1
Денис Кораблев, Positive Technologies: о ключевых составляющих DevSecOps и ошибках при внедрении
8 months ago 00:38:04 1
Автоматизация в ИБ: практики внедрения GRC, инфраструктуры как кода, DevSecOps и систем мониторинга
8 months ago 02:50:02 7
Управление уязвимостями (Vulnerability Management). Как это работает?
1 year ago 02:18:19 1
Лучшие российские практики DevSecOps
1 year ago 00:42:40 1
Внедрить DevSecOps и не сойти с ума / Олег Казаков / Dump 2023
1 year ago 01:09:13 1
Всё о DevSecOps - Алексей Жуков - Positive Technologies
2 years ago 01:37:27 1
Современные средства периметральной безопасности // Курс «Внедрение и работа в DevSecOps»
2 years ago 01:09:51 1
Моделирование угроз и тестирование на проникновение // Курс «Внедрение и работа в DevSecOps»