Topeaks #8: Application Security
In this episode, we discussed all-things application security; from scanning to designing with security in mind, through OWASP and sources of information, we feel engineers in the world of Dev / Ops should be aware of and familiar with!
00:00 - Today's topic (topeak ?)
00:28 - What's the first thing that comes up to your mind when I say Application Security?
OWASP Top 10 - https://owasp.org/www-project-top-ten
Bug Bounty platforms:
HackerOne - https://hackerone.com/bug-bounty-programs
Bugcrowd - https://www.bugcrowd.com/bug-bounty-list/
Intigriti - https://www.intigriti.com/
04:04 Cool stuff you can find when inspecting a plain HTML page
05:22 How to avoid committing keys and passwords in public repositories?
Git leaks - https://github.com/zricethezav/gitleaks
Scanners: [Python Bandit: https://bandit.readthedocs.io/en/latest, Go: https://pkg.go.dev/golang.org/x/vuln/cmd/govulncheck]
BFG Repo Cleaner - https://rtyley.github.io/bfg-repo-cleaner/
07:28 - Application design and third-party packages
Node - https://nodejs.org/en/
yarn - https://yarnpkg.com/
ExpressJS - https://expressjs.com/
RBAC Role-Based Access Control - https://en.wikipedia.org/wiki/Role-based_access_control
12:08 - Containers and the 12-factor app principle
12 Factor - https://12factor.net
Kubernetes ConfigMap - https://kubernetes.io/docs/concepts/configuration/configmap/
Docker Build Secrets - https://pythonspeed.com/articles/docker-build-secrets/
**Meir mentioned, "AWS set a limit for scanning Docker images in ECR according to the image size" - it depends on the base image OS, not the size, see https://docs.aws.amazon.com/AmazonECR/latest/userguide/image-scanning-troubleshooting.html
Clair static analysis for containers: https://github.com/quay/clair
17:45 - What's the best approach for updating secrets/parameters for production (live) environments?
21:59 - Omer, which cool project have you encountered this week?
Harden EKS - https://github.com/aws-samples/hardeneks
==========================================
Topeak's is also a podcast!
Find all the episodes at https://topeaks.buzzsprout.com
Also, on Spotify! https://open.spotify.com/show/4XuDu63M9repUZh1RLFbkY
Or add our feed to your favorite podcasts app using this link: https://feeds.buzzsprout.com/2088995.rss
==========================================
Meir's blog: https://meirg.co.il
Omer's blog: https://omerxx.com
Telegram channel: https://t.me/espressops
==========================================
#devops #ops #engineering #session #theoretical #technical #podcast #talks #aws #cloud #kubernetes #k8s #containers #podcast #conversation #network #security
Что делает видео по-настоящему запоминающимся? Наверное, та самая атмосфера, которая заставляет забыть о времени. Когда вы заходите на RUVIDEO, чтобы посмотреть онлайн «Topeaks #8: Application Security», вы рассчитываете на нечто большее, чем просто загрузку плеера. И мы это понимаем. Контент такого уровня заслуживает того, чтобы его смотрели в HD 1080, без дрожания картинки и бесконечного буферизации.
Честно говоря, Rutube сегодня — это кладезь уникальных находок, которые часто теряются в общем шуме. Мы же вытаскиваем на поверхность самое интересное. Будь то динамичный экшн, глубокий разбор темы от любимого автора или просто уютное видео для настроения — всё это доступно здесь бесплатно и без лишних формальностей. Никаких «заполните анкету, чтобы продолжить». Только вы, ваш экран и качественный поток.
Если вас зацепило это видео, не забудьте взглянуть на похожие материалы в блоке справа. Мы откалибровали наши алгоритмы так, чтобы они подбирали контент не просто «по тегам», а по настроению и смыслу. Ведь в конечном итоге, онлайн-кинотеатр — это не склад файлов, а место, где каждый вечер можно найти свою историю. Приятного вам отдыха на RUVIDEO!
Видео взято из открытых источников Rutube. Если вы правообладатель, обратитесь к первоисточнику.