Jan 20 2025 44 mins 4
Наш сайт https://go.kotelov.com/website_kotelov
Отправить CV [email protected] или https://kotelov.com/hr/
KOTELOV Podcast на Highload++ 2024. Сегодня обсуждаем безопасность CI/CD — как автоматизация разработки становится любимой мишенью хакеров и почему разрабам надо чекнуть свои привелегии
У нас в гостях звездочка конференций Алексей Федулаев — руководитель направления Cloud Native Security в МТС Web Services. Он не только знает, как защитить пайплайны от внешних атак, но и расскажет, как быть с внутренними угрозами, когда ваши админы случайно оставили бэкдор.
📌Телеграм-канал Лёши про безопасность https://t.me/ever_secure
📌То, что обсуждали в подкасте:
Доклад Highload 2024 https://youtu.be/0BvDt5tt1ng?si=M1qTGGVPU-EDx3ZS
База по безопасности CICD https://youtu.be/YFWXV0YrDnE
CICD в условиях компрометации https://youtu.be/Z3oPJbz4bYo
Доклад про вредоносные библиотеки, их импакт и как делать приемку таких библиотек https://youtu.be/sAqMRw5lvTw
00:00 Алексей Федулаев, ИБ-специалист MTC Web Services
01:01 К чему приводят проблема безопасности CI/CD
06:37 Про базу безопасности CI/CD
06:40 Почему пушить в мастер — плохая идея
09:51 Почему разработчикам нельзя давать избыточные привилегии
13:09 Как правильно раздавать права
16:33 Можно ли как-то закрыть основной вектор атак на пайплайны
19:52 Как использовать уязвимости в пайплайнах и про промышленный шпионаж
27:59 Насколько часто NDA попадает в публичный репозиторий
31:30 Про кейс Toyota
35:02 Атаки на CI/CD из внешних репозиториев
38:17 Про логирование
39:50 Блиц
#интервью #Highload #безопасность #cicd #айти #kotelov #котелов #ВалерийКотелов #kotelovpodcast
