Спасаем код от вмешательства - подписываем коммиты Безопасность

Программный комитет ещё не принял решения по этому докладу
Тезисы

В случае компрометации учетной записи разработчика от CI/CD системы, у злоумышленника появляется возможность внести несанкционированные изменения в исходный код, а при плохой настройке ролевой модели - поверхность атаки многократно увеличивается. Для мониторинга изменений кода и подтверждение легитимности необходимо использовать сторонний механизм, который никак бы не зависел от CI/CD.
В докладе я предлагаю рассмотреть такой механизм - это git подпись коммитов. Проверка этой подписи и принятие решения о легитимности изменений.

Евгений Тодышев
УЦСБ

Ведущий инженер DevSecOps

https://t.me/St_666

Другие доклады секции Безопасность