Занимательный детектив "Who’s at the Helm?" или "Or, how to deploy 25+ CVEs to prod in one command!" - я думаю, что общий посыл понятен прям из названия! И да речь тут пойдет об open source supply-chain management.
Автор берет один Helm chart (в его случае это kube-prometheus-stack) и пытается разобраться, что реально появляется/ставится в его инфраструктуре и откуда и как это вообще было собрано. Есть там классный момент как автор пытается определить что за base image использовался при создании определенного образа - там идет почти reverse engineer с параллельными прыжками в ArtifactHub, GitHub, DockerHub, Quay =)
Естественное многое для автора становится сюрпризом (помимо количества уязвимостей)! Да, Helm chart может удивить, так я на пример знаю компании в которых запрещено использовать в виду их большой непрозрачности ...
PS Сегодня в Москве - выступаю на OFFZONE 2022.
