Всем привет, с вами DevSecOps Talks! 📢

В поисках информации по нашей любимой теме мы пришли к выводу: есть очень много классных каналов, которые посвящены по отдельности Dev, Sec и Ops, но нет канала, который позволит ответить на все вопросы сразу:

❓Что нужно не забыть при конфигурировании Kubernetes?
❓Что лучше - Prisma или Aqua?
❓Что использовать для автоматизации тестов?
❓Сколько нужно кластеров Kubernetes и как автоматизировать их настройку?
❓Как все это сделать безопасным?
❓Как правильно собрать pipeline, объединяющий всех участников сразу: разработку, ИТ и безопасность?

DevSecOps Talks - сообщество профессионалов, объединяющее всех специалистов «триады» - разработка, безопасность и эксплуатация.

Здесь мы будем делиться новостями рынка, интересными технологиями, аналитикой и лучшими практиками!

От коллег старшего поколения регулярно слышу: "Так Docker - это как Solaris Zone?". Да, но нет. Вообще удивительно как долго развивались отдельные технологии, для того, чтобы появились контейнеры, какими мы их знаем.

https://blog.aquasec.com/a-brief-history-of-containers-from-1970s-chroot-to-docker-2016

Привет! Совсем недавно вышло мажорное обновление Prisma Cloud до версии 20.04, в котором улучшили существующие функции и добавили новые. Мы выписали наиболее значимые изменения:

✏️ Контроль ресурсов с использованием динамического admission-контроллера для Kubernetes
✏️ Расширение списка поддерживаемых реестров (Harbor, виртуальные реестры JFrog Artifactory)
✏️ Изменение ключей в Jenkins-plugin и twistсli (централизация управления политиками; изменение ключей twistcli; потребуется модификация настроек в CI/CD-pipeline)
✏️ Добавлена возможность создания «групп образов» для более гибкого управления политиками
✏️ Расширение ролевой модели: добавлены Vulnerability Manager и DevSecOps User

Полная версия changelog доступна по ссылке. А какое изменение больше всего понравилось вам?

Для тех, кто только начинает знакомиться с бесконечным миром DevSecOps - небольшой гайд по основным понятиям в формате вебинара: https://youtu.be/mfbhISmObHI

В Kubernetes-окружениях административные задачи "второго дня" часто вызывают отдельные затруднения у администраторов и devops'ов. Резервное копирование не исключение. Бэкап контейнеризированных приложений значительно отличается по своей сути от бэкапов традиционных сред, и требует специфичных решений. Вендоры все активнее подключаются к таким задачам. Буквально вчера стало известно о партнерстве Veeam с компанией Kasten, которая изначально занимается резервированием контейнерных сред. Потираем руки, ждём классных зрелых решений

https://www.veeam.com/blog/kasten-partnership-kubernetes-backup.html

А как часто ваши разработчики по уважительной или не очень причине переносят релиз?
Но сегодня не об этом, давайте заглянем внутрь control plane Kubernetes, в самое его сердце - etcd. Статья хоть и на английском, но в качестве первого знакомства более чем. “A Closer Look At Etcd: The Brain Of A Kubernetes Cluster” by Luc Juggery https://link.medium.com/lYkBARzUI6

Привет! Если вы немного путаетесь во всех этих SAST, DAST и IAST, то в этой статье неплохо описаны основы, которые помогут понять в чем концептуальная разница указанных подходов к тестированию безопасности приложений. А еще в статье есть ссылки на описание логики работы пассивного и активного IAST (да-да, даже внутри "одного класса" тоже есть небольшие нюансы :) ) https://hdivsecurity.com/bornsecure/what-is-iast-interactive-application-security-testing/

Подробная инструкция о том, как развернуть Red Hat OpenShift версии 3.11 силами ИБ-шника. Из статьи вы узнаете о компонентах платформы, требованиях к архитектуре и сложностях, с которыми можно столкнуться при установке: https://habr.com/ru/company/jetinfosystems/blog/503618/