Привет!
Взять приложение. Просканировать. Найти множество недостатков. Написать отчет. Скинуть команде со словами – «Разберитесь!». Получить какой-то небольшой результат (если повезет) … Знакомо?
И это описание того, как обстояли дела в Netflix до тех пор, пока они не признали такой подход несостоятельным. Что-что, а вот с фантазией у ребят просто отлично!
AppSec команда приняла волевое решение – необходимо построить долгосрочные отношения с Dev. Для этого команда Netflix определило свои 5 шагов (5 steps to approach partnership):
🍭 Step 1. Engagement Identification. Определение Dev команды, приложений с которыми она работает. AppSec убеждается, что Dev готова пойти на встречу
🍭 Step 2. Discovery Meeting. Знакомство с командой, сбор информации. AppSec Netflix собирает всю доступную информацию, включая оценку рисков, в зависимости от характеристик приложения. Их цель на данном этапе – показать Dev, что «домашнее задание» выполнено и они собрали информацию, которую могли, понять контекст (context) и что делает приложение
🍭 Step 3. Security Review. При помощи ранее собранной информации определяется перечень активностей по ИБ, которые формируются в Security initiatives Doc. Специалисты Netflix считают, что не всем приложениям нужен pentest или детальная модель угроз. Задача этого этапа сделать перечень инициатив ИБ, адаптированный под приложение
🍭 Step 4. Alignment on the Security Initiatives Doc. Обсуждение предложений по безопасности с Dev, «выравнивание приоритетов» задач
🍭 Step 5. Ongoing Relationship Management. Dev включает Security Initiatives в свой Roadmap. Далее – осуществляется синхронизация между Dev и AppSec (например, раз в две недели/месяц)
Практически на каждом из этапов команда Netflix использует различные средства автоматизации, которые позволяют консолидировать данные и создавать единую базу знаний по безопасности приложений.
Выступление команды Netflix, разбор каждого этапа (Step), а также используемые средства автоматизации можно посмотреть по ссылке!
Взять приложение. Просканировать. Найти множество недостатков. Написать отчет. Скинуть команде со словами – «Разберитесь!». Получить какой-то небольшой результат (если повезет) … Знакомо?
И это описание того, как обстояли дела в Netflix до тех пор, пока они не признали такой подход несостоятельным. Что-что, а вот с фантазией у ребят просто отлично!
AppSec команда приняла волевое решение – необходимо построить долгосрочные отношения с Dev. Для этого команда Netflix определило свои 5 шагов (5 steps to approach partnership):
🍭 Step 1. Engagement Identification. Определение Dev команды, приложений с которыми она работает. AppSec убеждается, что Dev готова пойти на встречу
🍭 Step 2. Discovery Meeting. Знакомство с командой, сбор информации. AppSec Netflix собирает всю доступную информацию, включая оценку рисков, в зависимости от характеристик приложения. Их цель на данном этапе – показать Dev, что «домашнее задание» выполнено и они собрали информацию, которую могли, понять контекст (context) и что делает приложение
🍭 Step 3. Security Review. При помощи ранее собранной информации определяется перечень активностей по ИБ, которые формируются в Security initiatives Doc. Специалисты Netflix считают, что не всем приложениям нужен pentest или детальная модель угроз. Задача этого этапа сделать перечень инициатив ИБ, адаптированный под приложение
🍭 Step 4. Alignment on the Security Initiatives Doc. Обсуждение предложений по безопасности с Dev, «выравнивание приоритетов» задач
🍭 Step 5. Ongoing Relationship Management. Dev включает Security Initiatives в свой Roadmap. Далее – осуществляется синхронизация между Dev и AppSec (например, раз в две недели/месяц)
Практически на каждом из этапов команда Netflix использует различные средства автоматизации, которые позволяют консолидировать данные и создавать единую базу знаний по безопасности приложений.
Выступление команды Netflix, разбор каждого этапа (Step), а также используемые средства автоматизации можно посмотреть по ссылке!