Практика управления безопасностью ПО в масштабных продуктах | DevSecOps Wine
Практика управления безопасностью ПО в масштабных продуктах
Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали: - Уже многим известный Dependency Confussion - Использование одних и тех же ключей для всех сборок и деплоев - Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD) - Внесение изменений в код за счет отсутствия правил approve/review - Использование небезопасных сторонних библиотек - Публикация внутренних API во внешнюю среду через единый ingress - Открытие полного доступа в Интернет для закрытых ресурсов