Заметки инженера ИБ: что проверить после новости, как не попасть на очередной supply-chain. Без магии, с командами и ссылками на первоисточники.
Кому читать
Заметки инженера ИБ: что проверить после новости, как не попасть на очередной supply-chain. Без магии, с командами и ссылками на первоисточники.
8 лайков2 комментариев
"Проверить sigstore и cosign перед развертыванием. Иначе зачем вообще security?"
"Игорь, отличный гайд! Особенно цепляет про проверку зависимостей — сам не раз на этом подгорал. А как думаешь, стоит ли добавить пункт про мониторинг активности в репозиториях?"