DEVSECOPS_WEEKLY Telegram 1275
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1275
DevSecOps Talks
Forwarded from DevSecOps Assessment Framework (DAF)
Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.
GitHub
DevSecOps-Assessment-Framework/DAF.md at main · Jet-Security-Team/DevSecOps-Assessment-Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
5🔥3👍1
www.tgoop.com/devsecops_weekly/1275
2.2K views



tgoop.com/devsecops_weekly/1275
Create:
Last Update:

Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1275

View MORE
Open in Telegram


Telegram News

Date: |

With the “Bear Market Screaming Therapy Group,” we’ve now transcended language. Just as the Bitcoin turmoil continues, crypto traders have taken to Telegram to voice their feelings. Crypto investors can reduce their anxiety about losses by joining the “Bear Market Screaming Therapy Group” on Telegram. Although some crypto traders have moved toward screaming as a coping mechanism, several mental health experts call this therapy a pseudoscience. The crypto community finds its way to engage in one or the other way and share its feelings with other fellow members. The SUCK Channel on Telegram, with a message saying some content has been removed by the police. Photo: Telegram screenshot. In the “Bear Market Screaming Therapy Group” on Telegram, members are only allowed to post voice notes of themselves screaming. Anything else will result in an instant ban from the group, which currently has about 75 members.
from us


Используете проверку подписей и хэшей компонентов у себя в разработке?

 DevSecOps Talks TG
web: 1275
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American