DevOps спільнота

В ентерпрайзі прийнято мати свій базовий імідж, який періодично перебудовується з публічного іміджа і проходить аудит безпеки, а ось поверх цього іміджа уже збирати контейнер з аппкою (вказувати для апп-докерфайла FROM myrepo.com/ubuntu-base:latest,...

Правильно. Це вам і потрібно донести команді безпеки) Єдині гарантії — в образі, який ви зараз готуєте і ще не поклали в реєстр (це і мав на увазі під «найновіший») інструменти, які погодять команда безпеки, не знайдуть вразливостей.

А ось це вже від бюджету залежить... ;) І трохи везіння ;)

Если тебя в таких обвинят — то никакие логи и точки возврата не помогут.

Ві не стає ані більш небезпечним, ані більш нестабільним. За визначенням, бо він є незмінним. Просто вразливості стають відомими. З цієї точки зору найновіший образ — не більш безпечний. Просто ви не знаєте ще про наявні вразливості.

Встречаются два экономиста и один другого спрашивает: — Ты понимаешь что сейчас происходит? Второй отвечает: — Я щас тебе всё объясню! Первый: — Я тебе и сам объяснить могу! Ты понимаешь что происходит или нет?

За деякими злочинами немає строку давнини.. ;)

Да, упущена важна штука — бюджет на консалтинг :)

За последние 3 года — срок исковой давности, чтоб в случае чего — показать судэкспертизе что и как было.

Security хочуть бачити лише стабільні та безпечні образи в репозиторіях та registry Через достатню кількість часу будь-який образ стає небезпечним/нестабільним. Ви можете гарантувати безпеку лише найновішого образу.

І, доречі, в банках я не працював, але працював з ними зі сторони — там паранойя і бюрократія та ще... І ідіотизм «безпечників» — «якщо я чогось не розумію, то це працювати не буде», а не розуміють вони багато...

тоді або дуже невеличка «історія відкатів», або дуже велика команда підтримки. Якщо є інформація, чим керуються в обмеженні «історії відкатів» чи строку підтримки — буде цікаво почути аргументи.

security хочуть щоб «червоних міток в пайплайнах перевірок не було взагалі». Але це малореально. Вполне реально. В классических банках например — именно так.

І ще раз: з одного боку — треба мати попередні версії, бо це можливість відкату, але попередні версії, це старі пакети, яки не проходять перевірку безпеки.

Бюджет доволі великий. Тобто він є, але питання безпеки важливіше. З іншого боку, бюджет на кількість співробітників дає більші обмеження, бо це ж все треба підтримувати... Але і співробітників там не одиниці. За кількість співробітників можна поторгуватись.