Обучающее видео: «Безопасность разработки — анализ кода, devsecops, sdlc и дружба с безопасником!»

Для внедрения безопасности в процесс разработки используют либо secdevops, либо devsecops подходы. По сути, это все про концепцию безопасной разработки ПО, но отличие в том, как внедряются механизмы безопасности в процесс разработки.

Если просто, то при secdevops по всем требованиям безопасности мы проходим в процессе подготовки релиза, а при devsecops — в конце перед самим релизом. Вопрос в щепетильности подхода. Больший «параноик» дает большую безопасность. Но кто думает о безопасности, когда горят сроки?

У кого есть время и деньги на внедрение анализа кода и причем тут автомобиль, припаркованный открытой дверцей к столбу — в данном видео!

Важно также налаживать обмен информацией внутри компании между подразделением разработки (ИТ) и безопасности (ИБ). Тем более что когда разработка внедряет средства автоматизации (трекеры, тестовые среды,…) безопасникам важно это знать. Обмен информацией не только делаем безопасника счастливым, но и обеспечиваем безопасность всей компании, особенно если ведется безопасная разработка!

Если ИТ не создает для ИБ проблемы, то они будут дружить. А ведь безопасность не только заботится об анализе кода и secdevops в sdlc, но и о безопасности разработки, а также компании в целом, то есть сохранении работы для разработчика из ИТ!

Что нужно чтобы сделать безопасника счастливым:

? анализ кода

? сканер уязвимостей

? безопасность разработки (на всех этапах — помним про secdevops!)

? обмен информацией между ИТ и ИБ