Внедрить DevSecOps и не сойти с ума / Олег Казаков / Dump 2023
Внедрить DevSecOps и не сойти с ума: команды с разными процессами, неоднородный стек и ограниченный бюджет, Олег Казаков, CTO в Spectr
Спикер рассказал о том, как интегрировать практики DevSecOps в процесс разработки в условиях неоднородности стека/архитектуры/инфраструктуры/процессов реализуемых продуктов. Рассмотрел основные классы инструментов автоматической проверки безопасности и процесс внедрения наиболее популярных инструментов: Gitleaks, Trivy, OWASP ZAP и др.
В докладе много практического опыта, примеров конфигов и отчетов.
Доклад рассчитан на DevOps-инженеров, архитекторов, тимлидов, специалистов по ИБ. В результате будет сформирован пример CI/CD-пайплайна, который можно переиспользовать с минимальными доработками.
00:00 Представление спикера, предыстория
1:28 DevSecOps: почему мы решили его внедрить?
3:34 Этап 1: Pre-commit Checks
4:03 Secret Detection: цели и варианты его использования
11:01 Ограничения Secret Detection
11:40 Активная реакция на обнаруженные секреты
13:21 Вывод отчета о задаче
14:21 Проблемы сканирования в CI и специфика GitLab / Удаляем код из истории GitLab
16:48 Этап 2: Commit-time Checks
19:07 Внедряем инструменты SAST
21:22 Сложности SAST
22:32 Dependency Scanning и пакеты уязвимостей Git
24:55 Этап 3: Post-build Checks
25:50 Добавляем в проект сборку артефакта
27:36 Управление уровнем отслеживания уязвимостей
30:33 Этап 4: Test-time Checks
32:30 Тестируем WebGoat
34:32 Что с бэком?
35:43 Этап 5: Deploy-time Checks
36:30 Обзор решений от GitLab
38:28 Делимся примером реализации
39:06 Вопросы из зала
Watch video Внедрить DevSecOps и не сойти с ума / Олег Казаков / Dump 2023 online without registration, duration hours minute second in high quality. This video was added by user Spectr | Все об IT и разработке 13 October 2023, don't forget to share it with your friends and acquaintances, it has been viewed on our site 168 once and liked it 11 people.