📌Наш telegram с невероятными новостями и супер вакансиями https://go.kotelov.com/hl_kotelov_telegram Наш сайт https://go.kotelov.com/website_kotelov Отправить CV hr@kotelov.com или https://kotelov.com/hr/ KOTELOV Podcast на Highload++ 2024. Сегодня обсуждаем безопасность CI/CD — как автоматизация разработки становится любимой мишенью хакеров и почему разрабам надо чекнуть свои привелегии У нас в гостях звездочка конференций Алексей Федулаев — руководитель направления Cloud Native Security в МТС Web Services. Он не только знает, как защитить пайплайны от внешних атак, но и расскажет, как быть с внутренними угрозами, когда ваши админы случайно оставили бэкдор. 📌Телеграм-канал Лёши про безопасность https://t.me/ever_secure 📌То, что обсуждали в подкасте: Доклад Highload 2024 https://youtu.be/0BvDt5tt1ng?si=M1qTGGVPU-EDx3ZS База по безопасности CICD https://youtu.be/YFWXV0YrDnE CICD в условиях компрометации https://youtu.be/Z3oPJbz4bYo Доклад про вредоносные библиотеки, их импакт и как делать приемку таких библиотек https://youtu.be/sAqMRw5lvTw 00:00 Алексей Федулаев, ИБ-специалист MTC Web Services 01:01 К чему приводят проблема безопасности CI/CD 06:37 Про базу безопасности CI/CD 06:40 Почему пушить в мастер — плохая идея 09:51 Почему разработчикам нельзя давать избыточные привилегии 13:09 Как правильно раздавать права 16:33 Можно ли как-то закрыть основной вектор атак на пайплайны 19:52 Как использовать уязвимости в пайплайнах и про промышленный шпионаж 27:59 Насколько часто NDA попадает в публичный репозиторий 31:30 Про кейс Toyota 35:02 Атаки на CI/CD из внешних репозиториев 38:17 Про логирование 39:50 Блиц #интервью #Highload #безопасность #cicd #айти #kotelov #котелов #ВалерийКотелов #kotelovpodcast