Комментарии 3
Я всегда думал что безопасники это те кто шарят в 0day, могут обеспечить надёжный контур, знают как обеспечить мониторинг атак и распознать их, криптография и тд.
А дефить свое приложение от SQL инъекций, CVE и джунов, знать 12factor, owasp - обычная работа уважающего себя разработчика или девопса.
+4
Небольшие компании обычно себе позволить такого не могут, потому что им может быть больше интересен выпуск продуктов на регулярной основе. Поэтому для них лучше проводить аудиты периодически, раз в квартал, раз в полгода или раз в год. Просто чтобы получилось закрыть основные бреши.
аудит — это хорошо, но как показывает практика, безопасность в разработке должна быть непрерывной. Каждый раз, когда ты фиксируешь точки, когда ИБ приходит к разработке, получаются конфликты и стоимость устранения проблем высокая, потому что ИБ не "shiftletft'ится" по пайплайну. Еще зачастую аудит больше про бумажную безопасность, чем реальную. Сколько было ситуаций, что по документам все хорошо, а по факту продукт дырявое решето.
+1
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Зачем разработчику разбираться в вопросах безопасности?