👀 Коммитить нельзя сканировать: как мы боремся с секретами в коде

У нас, как и у большинства компаний, был классический процесс борьбы с секретами – различные инструменты сканировали кодовую базу, и при обнаружении паролей, токенов и т.д. нам приходилось их ротировать. Но главная проблема такого подхода в том, что проверить, действительно ли секрет был инвалидирован, не всегда возможно
Если перед вами стоит похожая задача и нужно выстроить процесс поиска секретов в каждом коммите в GitLab, то почитайте статью на Хабре от нашего DevSecOps-инженера Александра Карпова.

⏳ Всего за 8 минут вы узнаете:

▪️Как оптимально вычищать кодовую базу от любых секретов?
▪️Что выбрать: CI/CD jobs, Git, server-side или web hooks?
▪️Какие подводные камни существуют?
▪️Как сделать так, чтобы и разработчикам было максимально комфортно и безопасники были довольны?

Читать статью

#appsec #эксперты #статья

💬 Как RuStore защищает свои релизы?

🔹 Когда хочется быстрее выпустить релиз, безопасность может оказаться на втором плане. Но, вместо того чтобы идти на компромиссы, можно сделать так, чтобы релизы выходили быстро и безопасно.

🔹 Дмитрий Морев, руководитель информационной безопасности RuStore, в статье на Хабре объясняет, как с помощью автоматизированных проверок, архитектурных ревью, автосогласования релизов и Security Gate минимизировать риски.

🔹 Читать статью

VK Security

#RuStore #статья #SecurityGate