YS
Это отличная идея, я б сказал =)
Не всегда есть на это время, к сожалению)
Но всегда есть возможность к этому прийти потом и что-то поменять)
Но всегда есть возможность к этому прийти потом и что-то поменять)
Size: a a a
2020 July 18
YS
Ну и да, не нужно забывать, что какой бы процесс не был, его нужно измерять и им нужно управлять) вот в этом и может помочь тула для агрегации всего и вся в единое место))
YS
А эта тула может ещё из различных тулзовин коррелировать баги, вообще прекрасно! И это может быть очень полезно, даже вначале
S
Тула это следствие, нужен процесс, а его уже автоматизировать. Мы юзали кастомный рейтинг безопасности продукта/сервиса, состоявший из двух основных метрик.
S
Процесс и метрики позволяют приоритезировать фиксы, техдолга всегда больше чем ресурсов.
YS
Stanislav Sharakhin
Тула это следствие, нужен процесс, а его уже автоматизировать. Мы юзали кастомный рейтинг безопасности продукта/сервиса, состоявший из двух основных метрик.
Безусловно, без хотябы примерного понимая дальнейшего бизнес процесса, как может быть устроен, дело не пойдёт)
S
Безусловно, без хотябы примерного понимая дальнейшего бизнес процесса, как может быть устроен, дело не пойдёт)
Угу, и тут мы начинаем борьбу за ресурсы и приоритеты через риски от уязвимости.
YS
Stanislav Sharakhin
Процесс и метрики позволяют приоритезировать фиксы, техдолга всегда больше чем ресурсов.
Согласен) но при выборе, например инструмента из множества представленного, корреляция может помочь весьма неплохо
rd
Не всегда есть на это время, к сожалению)
Но всегда есть возможность к этому прийти потом и что-то поменять)
Но всегда есть возможность к этому прийти потом и что-то поменять)
Ага, я именно об этом =)
S
Согласен) но при выборе, например инструмента из множества представленного, корреляция может помочь весьма неплохо
Выбирать инструмент, а не процесс, как решение - почти всегда плохая идея
YS
Stanislav Sharakhin
Угу, и тут мы начинаем борьбу за ресурсы и приоритеты через риски от уязвимости.
Всегда не любил эту тему))) сколько будет стоит эксплуатация уязвимости)
S
Это можно легко посчитать, там проблема только с вероятностью эксплуатации.
YS
Stanislav Sharakhin
Выбирать инструмент, а не процесс, как решение - почти всегда плохая идея
Ненене, я всегда говорил, что процесс и люди это первое!) И покупать инструмент и потом вокруг него строить процесс, подстраиваясь под него это ничем хорошим не кончится
S
Ага, не так понял значит)
YS
Типо а вот тут мы сделаем так, потому что по другому инструмент не умеет 🤣
S
Привет Maxpatrol)
YS
Stanislav Sharakhin
Ага, не так понял значит)
Да я скорее про следующий этап, именно выбора конкретных инструментов для разных практик под процесс. Без этого тоже никуда же))
YS
Stanislav Sharakhin
Привет Maxpatrol)
А чо, макспатрол Х то вышел?)
S
Не знаю, я даже SIEM не видел)
S
@zirexx1 какой там нонче последний?