S
В общем всё что я понял за три года в продуктовой безопасности - понимание это ключ. Ты можешь обложиться сканерами и метриками, но народ искренне не вдупляет зачем оно.
Size: a a a
2020 July 18
S
А когда показываешь эксплутацию + немного теории, все становится лучше.
S
Причём именно с разрабами, продакты и прочие манагеры никак не реагируют почти.
AB
Stanislav Sharakhin
Ну это тот самый WRT кажется
Да, только речь про дефекты, а не уязвимости. Суть, в целом, та же
RR
Так а как вы их находите то? После выкатки на прод?
RR
Можно же заранее как то аккуратно что ли))
S
Уязвимость это дефект имхо, система себя ведёт не так как должна. Есессно если ты заранее заложил NFR.
S
Так а как вы их находите то? После выкатки на прод?
Внешняя багбаунти + сканеры.
RR
А на пре-проде нельзя?
RR
Тогда и наказывать ненадо
S
А на пре-проде нельзя?
А чего баловать.
YS
Stanislav Sharakhin
Причём именно с разрабами, продакты и прочие манагеры никак не реагируют почти.
Ну тут другая часть процесса играет очень хорошую роль - аварнес программа и тренинги
RR
Ух огонь!
S
Ну тут другая часть процесса играет очень хорошую роль - аварнес программа и тренинги
Именно. Однако, хотя бы раз в год нужны расстрелы.
YS
Когда все знают, что есть мб в компании,что они занимаются правильными штуками и что есть к кому сходить в случае вопросов
RR
Но они же тоже люди!
YS
Ну и самих прокачивать разрабов новыми знаниями касательно уязвимостей
YS
У тинька был хороший доклад на эту тему недавно совсем)
YS
