Application Security - процедура взаимодействия
Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.
При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.
По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.
Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships
Книга:
"Agile Application Security. Enabling Security in a CD pipeline"
#dev #ops #talks
Наиболее частая проблема, с которой мы сталкиваемся при проведении аудита процессов разработки - непонимание того, как организовать процедуру взаимодействия между отделом разработки и безопасности.
Как следствие возникают следующие вопросы:
- Как должен проходить архитектурный контроль со стороны ИБ?
- В какой момент осуществлять моделирование угроз? Как?
- Кто должен отвечать за безопасность кода? Должны ли ответственные присутствовать на всех спринтах?
- Как учитывать ИБ в user stories ?
и тд.
При этом немало заказчиков понимают важность встраивания инструментов безопасности в свой CI/CD.
По этому поводу я прикрепил пример эскиза, который мы готовили в рамках написания концепции.
Из материалов, которые также могут помочь, мне нравится доклад Netflix:
A Pragmatic Approach for Internal Security Partnerships
Книга:
"Agile Application Security. Enabling Security in a CD pipeline"
#dev #ops #talks