AR
Да на самом деле всё как Макс говорит, devsecops это инженер, appsec это считай менеджер технических проектов :)
Size: a a a
2020 December 15
AR
Так как сейчас почти везде применяются SRE практики и DevOps, поэтому пошло разделение на DevSecOps - инженеры которые везде интегрируют секурити тулы, настраивают под нужные процессы, а Application Security специалисты раньше были инженерами и теперь больше занимаются менеджерской работой
AR
@httpnotonly поправь меня если не так
AR
@Yorik2016 может Юра что умного скажет :)
YS
а если наоборот?) Аппсек это общее понятие направления внутри безы, девсекопс - это частное направление развития, направленное на интеграцию, автоматизацию и т.д.?)
DY
а если наоборот?) Аппсек это общее понятие направления внутри безы, девсекопс - это частное направление развития, направленное на интеграцию, автоматизацию и т.д.?)
+
MM
Где ж тут наоборот)
YS
и в целом, что есть аппсек? Безопасность приложений же) А ДевСекОпс это направление внутри.
Может быть девсекопс без апсека? А аппсек без девсекопса?
Может быть девсекопс без апсека? А аппсек без девсекопса?
YS
что было раньше, курица или яйцо?)
YS
девсекопс или апсек?
V
Помимо приложений (их кода), есть безопасность эксплуатации приложений, инфраструктуры там, ..и чего-то, что делают не разработчики, а другие люди, в общем)
YS
Ну я и не говорю, что приложения это только код)
V
AR
и в целом, что есть аппсек? Безопасность приложений же) А ДевСекОпс это направление внутри.
Может быть девсекопс без апсека? А аппсек без девсекопса?
Может быть девсекопс без апсека? А аппсек без девсекопса?
Если так думать, то можно запутаться :) Обычно Application Security Engineer или Manager занимается посильно тем, чтобы построить цикл безопасной разработки SSDLC, а DevSecOps занимается тем что применяет практики по Security в DevOps практиках чтобы их не корраптить и дополнять
AR
сейчас в devops и sdlc имеют пересечения, поэтому в каких то местах да devsecops может быть без appsec наверное, а appsec без devsecops :)
A
и в целом, что есть аппсек? Безопасность приложений же) А ДевСекОпс это направление внутри.
Может быть девсекопс без апсека? А аппсек без девсекопса?
Может быть девсекопс без апсека? А аппсек без девсекопса?
+1
знаю команды ИБ, которые сфокусировались в три стороны - appsec, devsecops, compliance
толк есть, процессная часть и инженерная - кажись разделив их ничего не выйдет
знаю команды ИБ, которые сфокусировались в три стороны - appsec, devsecops, compliance
толк есть, процессная часть и инженерная - кажись разделив их ничего не выйдет
MM
Чтобы мы все говорили на одном языке)
A
привет самм
DY
+1
знаю команды ИБ, которые сфокусировались в три стороны - appsec, devsecops, compliance
толк есть, процессная часть и инженерная - кажись разделив их ничего не выйдет
знаю команды ИБ, которые сфокусировались в три стороны - appsec, devsecops, compliance
толк есть, процессная часть и инженерная - кажись разделив их ничего не выйдет
Давайте не будем забыть что DevSecOps - это и SecOps, куда относят также харденинг облака/кластеров
Люди которые занимаются безопасностью таких вещей, нормально сосуществуют и без appsec как упомянуто выше
Но тем не менее для компании они также занимаются DevSecOps
Поэтому вопрос терминологий оч размылся
Люди которые занимаются безопасностью таких вещей, нормально сосуществуют и без appsec как упомянуто выше
Но тем не менее для компании они также занимаются DevSecOps
Поэтому вопрос терминологий оч размылся
MM
Там примерно пополам делится на инженерку и менеджмент. Так что когда HR говорят про девсекопс, то отрезают половину процесса