DEVSECOPS_WEEKLY Telegram 1275
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1275
DevSecOps Talks
Forwarded from DevSecOps Assessment Framework (DAF)
Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.
GitHub
DevSecOps-Assessment-Framework/DAF.md at main · Jet-Security-Team/DevSecOps-Assessment-Framework
DevSecOps Assessment Framework. Contribute to Jet-Security-Team/DevSecOps-Assessment-Framework development by creating an account on GitHub.
5🔥3👍1
www.tgoop.com/devsecops_weekly/1275
2.2K views



tgoop.com/devsecops_weekly/1275
Create:
Last Update:

Используете проверку подписей и хэшей компонентов у себя в разработке?

Практика T-CODE-SC-2-3 предполагает проверку цифровых подписей и контрольных сумм компонентов. Казалось бы, звучит логично и даже просто. Но как обстоят дела на практике?

Что можно использовать прямо сейчас:
🔍 npm: npm ci --verify-store-integrity
🔍 pip: hashin добавляет sha256 в requirements.txt
🔍 poetry: poetry.lock содержит sha256
🔍 maven: проверка jar — sha256sum -c lib.jar.sha256
🔍 GPG/PGP: gpg --verify lib.jar.asc lib.jar

Чаще всего приходится писать свои скрипты: в пайплайне, в CI/CD или обвязке пакетных менеджеров. Готового единого решения, которое проверяет всё — пока нет.

А у вас как ?
- Используете ли вы проверку хэшей/подписей?
- Где реализовали — в CI, на ARM, в IDE?
- Какие инструменты подошли?
- Есть ли ограничения, которые мешают внедрению?
- Считаете ли эту практику соответствующей 2 уровню зрелости по DevSecOps Assessment Framework?

Делитесь опытом в комментах — особенно интересно мнение тех, кто реально внедрил такую проверку в прод.

BY DevSecOps Talks




Share with your friend now:
tgoop.com/devsecops_weekly/1275

View MORE
Open in Telegram


Telegram News

Date: |

The best encrypted messaging apps bank east asia october 20 kowloon Your posting frequency depends on the topic of your channel. If you have a news channel, it’s OK to publish new content every day (or even every hour). For other industries, stick with 2-3 large posts a week. How to build a private or public channel on Telegram? Telegram Android app: Open the chats list, click the menu icon and select “New Channel.”
from us


Используете проверку подписей и хэшей компонентов у себя в разработке?

 DevSecOps Talks TG
web: 1275
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American