Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить
Представьте типичный сценарий в средней IT-компании. Команда разработки два месяца писала новый модуль для личного кабинета. Дедлайн горит, бизнес ждет запуска. За неделю до релиза в дело вступает отдел информационной безопасности. Запускается сканер, который выдает отчет на пятьдесят страниц с десятком уязвимостей критического уровня: SQL-инъекции, отсутствие валидации ввода, небезопасные настройки сессий.
Разработчикам приходится экстренно переписывать половину кода. Релиз сдвигается на месяц. Бизнес теряет деньги и начинает считать специалистов по безопасности врагами прогресса, а программисты воспринимают любые проверки как бюрократическое зло, мешающее работе.
Подобная модель, известная как «безопасность в конце конвейера», устарела. Исправление дефекта на этапе проектирования стоит условную единицу. На этапе написания кода цена вырастает до пяти единиц. На этапе тестирования — до десяти. Если уязвимость обнаруживается уже в продуктивной среде, стоимость исправления включает не только работу программистов, но и простой системы, репутационные потери и возможные штрафы регуляторов.
Решение заключается в концепции Secure SDLC (Security Development Lifecycle). Безопасность перестает быть отдельным этапом перед релизом и становится непрерывным процессом, встроенным в каждую фазу создания программного обеспечения.
Читать далееИсточник: Хабрахабр
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями
