[Из песочницы] QIWI Security Development Lifecycle

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…

Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.

Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.

С чего начать? Наш план был прост:

Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.

Прикрутить модные сканеры безопасности.

Отревьюить пару десятков приложений.

Откинуться в кресле, наблюдая за тем, как это все само работает.

Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Автоматизация против клиента: как рекламные звонки вредят людям и брендам
• Большой обзор рекламных форматов и лучших практик в 2025 году
• А был ли патчик? Как долго живут уязвимости в Рунете
• ИИ атакует, ИИ защищает: как использовать нейросети в ИБ
• Ginс Radar: Ginc Radar: как не утонуть в своём IT-стеке
• Разбор заданий AI CTF на Positive Hack Days Fest. Часть 2
• ИИ-агенты и удостоверение персональных данных
• Представляем «Динамическое SEO» — новый тип проектов в PromoPult
• [Перевод] Анализ активности пользователей Windows
• ВПО DarkWatchman: SFX-архивы, XOR-шифрование и алгоритм генерации доменов