Всем привет! Меня зовут Антон Володченко, в Positive Technologies занимаюсь разработкой продуктов на стыке ИТ, ИБ и R&D. Этим небольшим постом я хотел бы чуть сблизиться с нашей аудиторией и побольше узнать, что вас волнует в контексте работы с репозиториями пакетов, образов, библиотек. Это поможет нам в расстановке приоритетов в рамках разработки нового, пока не анонсированного продукта. Интересно будет мнение активных участников DevOps-процессов, небольших команд, да и просто разработчиков-фрилансеров.

В последнее время все чаще доступ к ресурсам по различным причинам оказывается ограничен. Вспомним историю Terraform или JetBrains, а еще случай Docker, но там все быстро вернулось в строй. Прибавьте к этому проблемы безопасности сторонних библиотек (одну из множества таких проблем описывали в нашей статье). В общем, нюансов с пакетами и образами бывает много разных, но хочется понять, насколько часто возникают такие проблемы — поэтому прошу вас ответить на несколько вопросов, связанных с организацией процесса разработки. Если у вас будет время и желание пообщаться на эту тему подробнее — смело пишите мне здесь @Zero5 или в Telegram @parazero5. А в комментариях к этому посту можно добавить свои варианты ответов и обсудить эту тему.

Захожу я в английский клуб. Там все сидят, выпивают, в карты играют. Смотрю — в очко режутся! Сел я за столик, взял карты. У меня — 18. А мой соперник говорит: «20». Я ему: «Покажи!». А он мне: «Мы, джентльмены, верим друг другу на слово». И вот тут-то мне поперло.

Но в ИБ так не пройдет, нужна здоровая паранойя. Поэтому на слово не верим никому, в том числе и инструментам анализа, а сначала их проверяем.