Наш сайт https://go.kotelov.com/website_kotelov

Отправить CV [email protected] или https://kotelov.com/hr/

KOTELOV Podcast на Highload++ 2024. Сегодня обсуждаем безопасность CI/CD — как автоматизация разработки становится любимой мишенью хакеров и почему разрабам надо чекнуть свои привелегии

У нас в гостях звездочка конференций Алексей Федулаев — руководитель направления Cloud Native Security в МТС Web Services. Он не только знает, как защитить пайплайны от внешних атак, но и расскажет, как быть с внутренними угрозами, когда ваши админы случайно оставили бэкдор.

📌Телеграм-канал Лёши про безопасность https://t.me/ever_secure

📌То, что обсуждали в подкасте:

Доклад Highload 2024 https://youtu.be/0BvDt5tt1ng?si=M1qTGGVPU-EDx3ZS

База по безопасности CICD https://youtu.be/YFWXV0YrDnE

CICD в условиях компрометации https://youtu.be/Z3oPJbz4bYo

Доклад про вредоносные библиотеки, их импакт и как делать приемку таких библиотек https://youtu.be/sAqMRw5lvTw

00:00 Алексей Федулаев, ИБ-специалист MTC Web Services

01:01 К чему приводят проблема безопасности CI/CD

06:37 Про базу безопасности CI/CD

06:40 Почему пушить в мастер — плохая идея

09:51 Почему разработчикам нельзя давать избыточные привилегии

13:09 Как правильно раздавать права

16:33 Можно ли как-то закрыть основной вектор атак на пайплайны

19:52 Как использовать уязвимости в пайплайнах и про промышленный шпионаж

27:59 Насколько часто NDA попадает в публичный репозиторий

31:30 Про кейс Toyota

35:02 Атаки на CI/CD из внешних репозиториев

38:17 Про логирование

39:50 Блиц

#интервью #Highload #безопасность #cicd #айти #kotelov #котелов #ВалерийКотелов #kotelovpodcast