Как стать автором
Обновить

Комментарии 3

Я всегда думал что безопасники это те кто шарят в 0day, могут обеспечить надёжный контур, знают как обеспечить мониторинг атак и распознать их, криптография и тд.

А дефить свое приложение от SQL инъекций, CVE и джунов, знать 12factor, owasp - обычная работа уважающего себя разработчика или девопса.

Ничего не мешает одновременно и шарить и рассказывать всё-таки основы. Если в приложении полно тривиальных XSS (а это в каждом первом где в команде нет того, кто хоть что-то понимает по теме), то смысла искать и фиксить там 0day никакого.

Небольшие компании обычно себе позволить такого не могут, потому что им может быть больше интересен выпуск продуктов на регулярной основе. Поэтому для них лучше проводить аудиты периодически, раз в квартал, раз в полгода или раз в год. Просто чтобы получилось закрыть основные бреши.

аудит — это хорошо, но как показывает практика, безопасность в разработке должна быть непрерывной. Каждый раз, когда ты фиксируешь точки, когда ИБ приходит к разработке, получаются конфликты и стоимость устранения проблем высокая, потому что ИБ не "shiftletft'ится" по пайплайну. Еще зачастую аудит больше про бумажную безопасность, чем реальную. Сколько было ситуаций, что по документам все хорошо, а по факту продукт дырявое решето.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.