Топ10 аргументов бизнеса и продактов, типовые ошибки, и т.д.

+1

Не взлетает проект?

Наверняка, многие просят поставить им решетки на окна, а там и двери то нет. Но так хотят, за это платят, интересные кейсы могут быть.

SDLC, если брать в целом.

Аа, понял

👍

Я про негативный опыт в широком смысле, не убитые проекты.

я был на митапе ВТБ
https://habr.com/ru/company/vtb/news/t/474752/
честно - позорище

единственный хоть сколь-нибудь интересный доклад был от Юрия

а предыдущее выступление свордфиш было тут:
https://devops-moscow.timepad.ru/event/784861/

(видос есть).
Тоже Юрий рассказывает про интеграцию всех этих инструментальных средств - вот это было прямо 🔥🔥🔥

Ух, как я тут зажёг и без того горячие сердца!
В очередной раз убедился, что откровенность вызывает доверие и располагает к обратной связи. И это хорошо. Спасибо огромное всем, кто принимал участие в этой познавательной дискуссии. Узнал много интересного, понял что мой путь покорения секьюрити далей будет чудовищно увлекательным и не менее захватывающим. Это для вас уже стало работой и возможно рутиной - для меня бескрайний океан новых знаний и удивительных приключений.
В следующем сообщении попробую ответить на все вопросы пытливых коллег)

Итак:
• Нашему проекту 3 года активной разработки
• Да, у нас не было сесурити от слова совсем
• После открытия того, что ртуть чудовищно ядовита - учёные стали применять меры предосторожности и избегать дальнейших контактов с ней без ссз, хотя ртуть не стала от этого менее ядовитой
• Есть подозрение, что если просканироваиь тем же сонаром кодовую базу 70% населения этого чатика, пропорции в количестве уязвимостях на количество строк будет такое же как и у нас
• Мы предполагаем (у нас нет доказательств обратного) что все наши уязвимости не вскрыты и не буду вскрыты определенное время. На текущий момент это все стало нашим общим техническим долгом.
• Мы не желаем и дальше плодить технический долг
• Текущий технический долг в полном объеме донесен до бизнеса и бизнес разделяет наше видение по двум вышеизложенным пунктам
• Наш технический долг, пока, расписан в виде тасков в Джире, но на мой непрофессиональный взгляд, есть более специализированные инструменты для этого
• На текущий момент в компании нет культуры "безопасности". Мы, группа энтузиастов, хотим это благое дело продвинуть и укоренить, так же как это происходит с внедрением практик ДевОпс
• Бизнесс разделяет вышеизложенную идею и готов выделить ресурсы на недопущение новых уязвимосте. Технический долг безопасности будет закрываться по мере возможности от самых критичных уязвимостей к менее критичным. Но для этого бизнесу нужны очерченные горизонты, планы, сметы

Все норм, кроме подозрения

Мне кажется ответ где то тут

Встраивайтесь в процесс разработки, мне очень понравилась идея коментов в пул реквесты, а на старые уязвимости - баги, а почему бы и нет?

У нас уже давно все подозрительные папочки в исключениях

Молодцы. Но попробуйте походить по воде, есть вероятность что получится)

Привет, кто-нибудь имел опыт с https://www.datasunrise.com/ в GCP ? интересует:
1) насколько хороший у них "intelligent self-learning algorithms", или это только маркетинг?
2) какую нагрузку добавляет на работу с базой?
3) есть ли польза  от "Discovery identifies the sensitive and confidential data" и сильно ли фолзит? можно ли его гибко менять?
4) можно ли свои compliance политики создавать или только предустановленные в наборе юзать?
ну и в целом как впечатления от инструмента и саппорта?

Коллеги, кто использует docker bench security, как вам инструмент? Насколько он эффективен? Есть ли что-то фри получше? Или какие альтернативы и почему вы используете?