безопасная разработка

0

2

В библиотеках то и дело находят бяку, в основном она направлена на сервера, но ведь и рабочую машину кодера можно заразить, что актуализировалось в последнее время.

Поэтому поставил себе такие задачи:

ide, сборка, запуск — в изоляции
удобно, как и сейчас, когда всё пускается на машине
без регулярного пердолинга

Варианты примерно такие:

ide пускать через firejail
сборку и запуск проекта проводить в lxc
если не выйдет, подумать над созданием пользователя и его правами
если и это окажется так себе, подумать над докерами на все случаи жизни (уже пахнет пердолнгом)
готовое решение заскриптовать и дёргать алиасами

Мало знаю о DevSecOps, но судя по статьям, безопасность разработческих машин там не рассматривается. Есть какие-то сложившееся практики? Я изобретаю велосипед?

Ссылка

←	af_llc.c без хедер-файла

Курс лекций по языку Scala (видео)

→

Docker

~~sudopacman~~ ★★★★★
(30.03.22 17:40:51 MSK)

Ссылка

Перенес все кроме IDE в lxc контейнер и очень доволен.

$ DOWNLOAD_KEYSERVER="keyserver.ubuntu.com" sudo lxc-create -t download -n devcon -- --dist centos --release 7 --arch amd64

Прописал в /var/lib/lxc/devcon/config себе mount.entry на папку с проектами

$ echo "alias devcon-attach='sudo lxc-attach -u 1000 -n devcon'" >> ~/.bashrc

$ sudo lxc-start devcon
$ devcon-attach

Намного удобнее того что я пытался себе собрать из докера.

MOPKOBKA ★★★★★
(30.03.22 17:40:59 MSK)
Последнее исправление: MOPKOBKA 30.03.22 17:41:27 MSK (всего исправлений: 1)

Ссылка

рабочую машину кодера можно заразить

И как это будет выражаться? Ну то есть ты в виртуалке ставишь дефолт и вредная либа тебе не покажет перемогу, а потом зальешь код на ру сервер и там начнется содомия. Я просто риски не распарсил. Боишься что комп рабочий сломают? Делай бекапы.

А вообще практика есть - SOC. Хорошо, если в компании отдел ИБ состоит из технарей, а не отставных вояк, вот они и научат как правильно родину любить.

Lordwind ★★★★★
(30.03.22 17:41:49 MSK)

Ответ на: комментарий от Lordwind 30.03.22 17:41:49 MSK

На сервере точно будет контейнер, но даже если нет — это просто vps, можно переустановить. А вот если либа снесёт мне домашнюю директорию, будет больно. Не удивлюсь, если завтра какой-нибудь плагин для Intellij Idea попадётся на краже паролей. Такое уже давно практикуется в майнкрафте — там моды и плагины заражали именно пользовательские машины, потому что предполагалось, что админ протестирует сборку на своём компе. Уж тем более опасен мусор из всяких npm, где регулярно покупают старые проекты и заливают вирусню.

InterVi ★★★★★
(30.03.22 18:00:08 MSK) автор топика

Ссылка

Использовать проведенные пакеты из дистрибутива, а не нефильтрованный поток говна из всяких pip’ов и npm’ов. Больше ничего не надо.

slovazap ★★★★★
(30.03.22 18:17:39 MSK)

Ссылка

я не знаю как у веб программистов принято. Вроде бы им сильно Докер необходим.

Но для прикладного/системного программирования для этой цели отлично подходит VirtualBox, с установленным расширением для активации 3d ускорения.

+- работает так же шустро как обычная машина. Можно делать снимки (даже на лету). Намного удобнее (и меньше возни) чем с Докерами. Даже создаётся впечатление что Докер это в добавок ещё и медленно а тут шустро.

Ещё плюсы - можно переносить все настроенное окружение куда угодно, не надо заново настраивать ничего.

Я где-то с 2015 не девелопю ничего на хосте. Только в виртуалках.

bonta ★★★★★
(31.03.22 07:17:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	af_llc.c без хедер-файла

Development

Курс лекций по языку Scala (видео)

→

Похожие темы