Názory k článku
Rusko útočí skrze zranitelnost v softwaru česko-ruské firmy JetBrains, která u nás platí velké daně

Jendou za čas vám moc nepomůže, je potřeba to dělat často. Pořád jste závislý na tom, že vám protistrana ty IP adresy poskytne. Přičemž administrátoři síťových prvků jsou málokdy ti, kteří rozhodují, jaké služby (mimo síťových) bude firma využívat. Navíc tím omezením na IP adresy jste docílil akorát toho, že na vás útočník nemůže útočit přímo, ale jen skrze GitHub. Takže byste dál musel zkoumat, jaké všechny dokumentované i nedokumentované služby GitHub poskytuje a jestli se náhodou některá z nich nedá zneužít.

Pokud je nějaký software děravý, je potřeba především opravit tu díru. Pokoušet se to nějak ošetřit jinde znamená, že si stejně nikdy nemůžete být jistý, jestli tam nějaké díry nezůstaly.

https://api.github.com/meta

a btw:

https://teamcity-support.jetbrains.com/hc/en-us/articles/360021111039-What-are-the-IP-ranges-for-TeamCity-Cloud-servers-

Neni tedy problem to sezvykat programove a narvat to jednou za cas prez nejaky konfiguracni management do sitovych prvku.

Je to uplne prvni otazka. Pokud by neslo vymezit IP bude cela vec zmigrovana na jiny produkt. Takova infrastruktura startupu neprezije ani ctvrt roku po akvizici protoze zadna firma nechce byt odpovedna za party room pro hackery.

14. 12. 2023, 15:23 editováno autorem komentáře

Pokud vaše tvrzení platí pro všechny aplikace, tak platí i pro ty výše zmíněné webové servery. Nevím, zda vám třeba GitHub poskytne garantovaný seznam IP adres, ze kterých může volat hooky vašeho CI/CD.

Uvazujme ze aplikace je vzdy nebezpecna tak ji nenecham cucet ven aspon bez zakladnich acl. Take provozujeme team city ale u tech startupu alespon bez ipsec tunelu nebo presne definovanych url vc ip pro query/hooky s acl to ani neschvalim. Levnejsi je casto samozrejme ten tunel kvuli predrazenym cmoudum.
CI/CD cast krom definovane komunikace s presne definivanymi zdrojovymi a cilovymi ip vc. Filtru na query nikdy necuci ven do celeho sveta.

Ta CI/CD platforma třeba potřebuje z venku ze správce repository dostávat notifikace o změně v repository, na kterou má něco v té CI/CD platformě zareagovat. Aplikace má být bezpečná sama o sobě, další bezpečnostní opatření se mají dělat v případě kritických systémů – přičemž někde tak na hraně jsou za mne databáze s osobními údaji. Případně se další bezpečnostní opatření mají dělat tehdy, když ta primární aplikace není dostatečně bezpečná a nedá se to snadno spravit.

Je to zakladni zabezpeceni ale ne jedine a ultimativni. Je to na urovni, pokud pouziji paralelu, plotu nebo oddelene mistnosti s obycejnym zamkem.

WAF hodne drou na prasacky napsanych aplikacich a neznam prilis mnoho success stories.

Srovnavate nesrovnatelne.Tady vam ven cuci cela CI/CD platforma bez dalsich bezpecnostnich opatreni.

Veřejný web je neco jineho.

nj. ale taková obrana funguje jen do doby, než se útočníkovi podaří spustit vlastní kód kdekoliv v interní síti, což dnes zase není taková komplikace.

WAF dnes nasazují jen velké firmy a ještě občas to pěkně dře.

Souhlasím ale s tím, že služba, která není veřejná nemá být nikdy přístupná jako veřejná, ikdyž má přihlašování.

Je to ostudné nechat server běžet mimo VPN. Třeba takové http servery internetinfo klidně vystavují porty 80 a 443 jen tak volně do internetu. Hrůza.

Muzou si za to sami. Nechat server pripojeny primo bez vpnky nebo oddelene site. Je to tataz pohadka akorat s jinou barvou prince a draka.