SIGMA_team 19 апр в 16:00

Идеальный кейс внедрения DevSecOps. Так бывает?

Простой

7 мин

2.4K

Блог компании СИГМАИнформационная безопасность*Разработка мобильных приложений*

+12

Комментарии 6

Shaman_RSHU 19 апр в 19:16

Это Вы описали свои мечты, как должно быть? Вангую, что на третьем шаге любой более-менее ценящий себя разработчик будет бежать от такой госухи. Ну или у Вас очень спецефические продукты, где очень узко-направленные разработчики.

-1

denimoll 22 апр в 11:34

Нет, это не мечты, а один из реальных и удачных примеров внедрения безопасной разработки на проекте.

В компании за основу был взят классический SSDLC, который, при необходимости, уточняется для отдельных проектов.

Также, как один из представителей команды безопасности могу сказать, что мы стараемся найти баланс между бизнесом и безопасностью (но, конечно же, в сторону реальной безопасности). Мы не выступаем в качестве регулятора, а скорее помогаем разработке выпускать качественные продукты.

Protos 20 апр в 07:40

Я правильно понял, что вы просто ткнули пальцем в первого попавшегося ИТ-шника и сказали «теперь ты чемпион». Просто из:

Впереди:
развитие направления Security Champion в СИГМЕ — проведение курсов, повышение осведомленности и т.д.;

выглядит так, что у вас вдруг ни с того ни с сего появились чемпионы, которых вы ничему не обучали, ведь это только предстоит?

Или может расскажете по какому принципу выбирались эти чемпионы? По моему опыту даже при почти тысяче разработчиков ни бизнес ни ИТ не желают выделять кого-то в качестве чемпионов, а ИБ не готовы считать таковым кого угодно.

denimoll 22 апр в 11:59

Конкретно на этом проекте Security Champion'ы определены Team Lead'ами команд backend, frontend и mobile разработки. Предположительно, по принципу "кому это было бы интересно?", но по итогу каждый чемпион - это senior в своей области разработки. Что кстати помогло при разборе специфичных потенциальных уязвимостей и дальнейшему безболезненному исправлению ПО.

Обучение происходило и происходит на этапе №2:

2 шаг. Обучение

А "развитие направления Security Champion в СИГМЕ" заключается, в первую очередь, в повышении интереса других сотрудников на других проектах, а также в поддержании и актуализации знаний текущих чемпионов.

Protos 20 апр в 07:40

Где скачать СИГМА:Алькор для iOS?

SIGMA_team 23 апр в 13:09

Добрый день! СИГМА:Алькор является внутрикорпоративным решением и не предполагает сборку под iOS, а также не является свободно распространяемым ПО. Если у вас есть потребность в решении, мы можем обсудить, какой именно процесс вы хотите автоматизировать и провести для вас демонстрацию. Подробнее о решении можно почитать на нашем сайте: https://sigma-it.ru/solutions/sigma-alkor/

Зарегистрируйтесь на Хабре, чтобы оставить комментарий