На моем первом сканировании безопасности это была не хватает в моей инфраструктуре. Я пропустил так много заголовков, что может сделать приложение более безопасным.
- HTTP строгая транспортная безопасность (HSTS)
- Расширение Pinning Pinning для открытого ключа для HTTP (HPKP)
- X-frame-options
- X-XSS-защита
- X-контент-тип-опции
- Контент-безопасность-политика
- X-Permitted-Cross-Domain-Policies
- Рефератель-политика
- Ожидается-Ct
- Функциональная политика
Мой фрагмент для nginx
Согласно MDN, целостность Subresource (SRI) — это функция безопасности, которая позволяет браузерам проверять, что ресурсы, которые они извлекают (например, из CDN) доставляются без неожиданных манипуляций. Это работает, позволяя вам предоставить криптографический хэш, который должен соответствовать полученному ресурсу. В вашем веб -приложении в вашем Bundler реализуйте целостность Subresource. Для WebPack есть плагин https://www.npmjs.com/package/webpack-subresource-integrity , который автоматически добавляет целостность Subresource.
https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity
Веб -сервер поддерживает шифрование через TLS 1.0. TLS 1.0 не считается «сильной криптографией», как определено и требуется стандартом безопасности данных PCI. При стремлении стандарта безопасности данных индустрии платежных карт (PCI) Стандарт безопасности данных (DSS) рекомендуется (хотя в то время или письмо не требуется) использовать TLS 1.2 или выше. Если вы отключите этот старый браузер, не может поддержать ваш сайт.
Контейнеры Docker работают с привилегиями root по умолчанию. Что это вы можете установить пакеты для вашего контейнера с помощью APT, PKG или какого -либо другого диспетчера пакетов. Спросите своего разработчика в моем случае; это я. Добавьте эту линию в конце Dockerfile
USER 1001
Больше информации https://engineering.bitnami.com/articles/why-non-root-containers-are-important-for-security.html
При создании какого -либо контейнера в среде содержится некоторая конфиденциальная информация, такая как URL -адреса подключения базы данных, пароли, имена пользователей и т. Д. Убедитесь, что она секрет.
В вашем реестре Docker реализуйте сканер уязвимости, который может периодически сканировать контейнер Docker с помощью выявленных уязвимостей. Я предпочитаю практиковать https://github.com/quay/quay Для реестра, который может сканировать изображения контейнеров с помощью CLAIR.
Безопасность времени выполнения и аудит важны, если кто -то врывается в инфраструктуру. Я практикую https://falco.org/ Анкет Falco анализирует вызовы системы Linux из ядра во время выполнения и утверждает поток против мощного двигателя правил. Если правило нарушено, запускается предупреждение Falco. Подробнее о https://falco.org/docs/ Анкет
Я практикую https://prometheus.io/ Для нашей инфраструктуры, которая отслеживает и собирает все данные из вашего кластера. Следите за всеми шипами и дайте вам лучше понять любой инцидент.
Оригинальный пост
Мой контрольный список безопасности. Добавление заголовков безопасности | Омкар Ядав | Середина
Omkar Yadav ・ 15 июня 2020 г. ・ Среда
Оригинал: «https://dev.to/httpsomkar/checklist-for-devsecops-5bgl»