LINUX.ORG.RU
ФорумDevelopment

безопасная разработка

 , ,


0

2

В библиотеках то и дело находят бяку, в основном она направлена на сервера, но ведь и рабочую машину кодера можно заразить, что актуализировалось в последнее время.

Поэтому поставил себе такие задачи:

  • ide, сборка, запуск — в изоляции
  • удобно, как и сейчас, когда всё пускается на машине
  • без регулярного пердолинга

Варианты примерно такие:

  • ide пускать через firejail
  • сборку и запуск проекта проводить в lxc
  • если не выйдет, подумать над созданием пользователя и его правами
  • если и это окажется так себе, подумать над докерами на все случаи жизни (уже пахнет пердолнгом)
  • готовое решение заскриптовать и дёргать алиасами

Мало знаю о DevSecOps, но судя по статьям, безопасность разработческих машин там не рассматривается. Есть какие-то сложившееся практики? Я изобретаю велосипед?

★★★★

Перенес все кроме IDE в lxc контейнер и очень доволен. 

$ DOWNLOAD_KEYSERVER="keyserver.ubuntu.com" sudo lxc-create -t download -n devcon -- --dist centos --release 7 --arch amd64

Прописал в /var/lib/lxc/devcon/config себе mount.entry на папку с проектами

$ echo "alias devcon-attach='sudo lxc-attach -u 1000 -n devcon'" >> ~/.bashrc

$ sudo lxc-start devcon
$ devcon-attach

Намного удобнее того что я пытался себе собрать из докера.

MOPKOBKA ★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 1)

рабочую машину кодера можно заразить

И как это будет выражаться? Ну то есть ты в виртуалке ставишь дефолт и вредная либа тебе не покажет перемогу, а потом зальешь код на ру сервер и там начнется содомия. Я просто риски не распарсил. Боишься что комп рабочий сломают? Делай бекапы.

А вообще практика есть - SOC. Хорошо, если в компании отдел ИБ состоит из технарей, а не отставных вояк, вот они и научат как правильно родину любить.

Lordwind ★★★★★
()
Ответ на: комментарий от Lordwind

На сервере точно будет контейнер, но даже если нет — это просто vps, можно переустановить. А вот если либа снесёт мне домашнюю директорию, будет больно. Не удивлюсь, если завтра какой-нибудь плагин для Intellij Idea попадётся на краже паролей. Такое уже давно практикуется в майнкрафте — там моды и плагины заражали именно пользовательские машины, потому что предполагалось, что админ протестирует сборку на своём компе. Уж тем более опасен мусор из всяких npm, где регулярно покупают старые проекты и заливают вирусню.

InterVi ★★★★
() автор топика

Использовать проведенные пакеты из дистрибутива, а не нефильтрованный поток говна из всяких pip’ов и npm’ов. Больше ничего не надо.

slovazap ★★★★★
()

я не знаю как у веб программистов принято. Вроде бы им сильно Докер необходим.

Но для прикладного/системного программирования для этой цели отлично подходит VirtualBox, с установленным расширением для активации 3d ускорения.

+- работает так же шустро как обычная машина. Можно делать снимки (даже на лету). Намного удобнее (и меньше возни) чем с Докерами. Даже создаётся впечатление что Докер это в добавок ещё и медленно а тут шустро.

Ещё плюсы - можно переносить все настроенное окружение куда угодно, не надо заново настраивать ничего.

Я где-то с 2015 не девелопю ничего на хосте. Только в виртуалках.

bonta ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Development