Конференция завершена. Ждем вас на DevOpsConf в следующий раз!

Спасаем код от вмешательства - подписываем коммиты

Безопасность

Доклад отклонён

Целевая аудитория

Специалисты ИБ и devops-инженеры, заботящиеся о целостности своего кода.

Тезисы

В случае компрометации учетной записи разработчика от CI/CD системы, у злоумышленника появляется возможность внести несанкционированные изменения в исходный код, а при плохой настройке ролевой модели - поверхность атаки многократно увеличивается. Для мониторинга изменений кода и подтверждение легитимности необходимо использовать сторонний механизм, который никак бы не зависел от CI/CD.
В докладе я предлагаю рассмотреть такой механизм - это git подпись коммитов. Проверка этой подписи и принятие решения о легитимности изменений.

Ведущий инженер DevSecOps

УЦСБ

Компания интегратор решений по ИТ и ИБ

Видео