Безопасность + Разработка = ♡ Как выпускать релизы в срок и дружить с безопасностью
В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и выполняют проекты в срок и с наилучшим качеством. В их продуктах не бывает уязвимостей, и иногда им всего лишь нужно пройти «эту дурацкую приемку» по безопасности у крупных заказчиков.
Конечно, в реальности эти команды и их взаимодействие могут быть далеко не такими идеальными — безопасность часто не хочет вникать в специфику разработки, а разработчикам нет дела до требований безопасности. Меня зовут Сергей Волдохин, я директор компании «Антифишинг». Я побывал по обе стороны — больше семи лет отвечал за безопасность в международной компании, а сейчас занимаюсь разработкой собственных продуктов и отвечаю за их безопасность перед крупными заказчиками. В этой статье я расскажу, как научить разработчиков говорить на одном языке с безопасностью. И как сделать так, чтобы продукты выходили в релиз вовремя и оставались максимально защищенными.
Добро пожаловать в реальный мирИсточник: Хабрахабр
Похожие новости
- Краткая история биометрии: как появилось распознавание по голосу
- Как мы пытались «ломануть» сайт «Миротворец»*, а нашли целую армию охотников за данными. Полный технический разбор
- Как я сдал BSCP за 2 часа. Методология подготовки
- Copy.Fail (CVE-2026-31431) — больше чем LPE
- А сейчас я покажу, откуда на вайбкод готовилось нападение
- Мне прислали фишинг под MAX. Я разобрал ссылку и нашёл уязвимость в их API
- Per-user OAuth для MCP-серверов: Keycloak, n8n и Telegram-бот через один Auth Proxy
- Product Radar: Сервис для поиска англицизмов, шаблоны сайтов на Tilda и ещё 8 российских стартапов
- Телевизор как витрина: Почему Ozon и Wildberries до сих пор не захватили ваш диван
- Summ3r 0f h4ck 2026: стажировка в DSEC by Solar