AA
им выгоднее чтоб ты заапплаился)
Size: a a a
2020 December 15
AA
вернее, даже так - им только это и надо :)
AR
Основная проблема всех этих вот доков по application security в том, что они не адаптированы под devops, сейчас приходят appsec инженеры, начинают ломать devops практики идя по гайдам, потом выясняется что они ещё и руками не могут что-то делать, приходится искать людей со знанием практик devops которые умеют делать ручками и понимают практики и могут туда запихнуть безопасность, а appsec превращается в аниматора, который ходит, рассказывает про баги, делает обучение итд
MM
им выгоднее чтоб ты заапплаился)
Так и мне выгоднее не заниматься метриками и обучением бизнеса)
Все только в плюсе от тренда. Поставил тулы, что-то рассказал разработчикам и готово))
Все только в плюсе от тренда. Поставил тулы, что-то рассказал разработчикам и готово))
AR
@httpnotonly помнит мою шутку про то что сейчас application security engineer это application security animator :))
AA
Так и мне выгоднее не заниматься метриками и обучением бизнеса)
Все только в плюсе от тренда. Поставил тулы, что-то рассказал разработчикам и готово))
Все только в плюсе от тренда. Поставил тулы, что-то рассказал разработчикам и готово))
не, ты не понял... ты апплаишься, теряешь свое время на собесы, потом выясняется что HR не договорил и тебе надо заниматься еще N+1 вещами
MM
Основная проблема всех этих вот доков по application security в том, что они не адаптированы под devops, сейчас приходят appsec инженеры, начинают ломать devops практики идя по гайдам, потом выясняется что они ещё и руками не могут что-то делать, приходится искать людей со знанием практик devops которые умеют делать ручками и понимают практики и могут туда запихнуть безопасность, а appsec превращается в аниматора, который ходит, рассказывает про баги, делает обучение итд
Особенно когда чек-лист по старинке в процесс насаживают или ручное ревью командой из 2 человек делают в блокирующие режиме)
AR
да больше проблема в том что есть SRE и все эти гайды не ложатся на SRE, а SRE сейчас это DevOps, по крайней мере для меня
V
да больше проблема в том что есть SRE и все эти гайды не ложатся на SRE, а SRE сейчас это DevOps, по крайней мере для меня
Разве ещё нет "других" гайдов, по DevSecOps, где все дружат?)
B
Основная проблема всех этих вот доков по application security в том, что они не адаптированы под devops, сейчас приходят appsec инженеры, начинают ломать devops практики идя по гайдам, потом выясняется что они ещё и руками не могут что-то делать, приходится искать людей со знанием практик devops которые умеют делать ручками и понимают практики и могут туда запихнуть безопасность, а appsec превращается в аниматора, который ходит, рассказывает про баги, делает обучение итд
ИБшники часто аниматоры
AR
Разве ещё нет "других" гайдов, по DevSecOps, где все дружат?)
Ты знаешь я не встречал такого адаптированного гайда где говорилось бы как строить appsec правильно с учетом современных devops и sre практик
AR
поэтому каждый гнет свою линию, возникает конфликт интересов и все начинают делать свои велосипеды и понимать всё по своему :)
AR
есть просто гайды и чеклисты потипу samm но это просто набор действий, который где-то сломает твой devops :) где-то нет
MM
Взять тот же defectdojo/Faraday/threadfix/иная хранилка уязвимостей. Кто-то пользует в процессе этот класс решений, а кто-то шлёт прямиком в джиру и там уже верифицирует
V
Хм, звучит как...незанятая и востребованная полянка, что ли 🤔
DY
Хм, звучит как...незанятая и востребованная полянка, что ли 🤔
Хз нужно ли в итоге писать такой док
Потому что якобы есть bsimm, но если его читать и брать как лучшие практики, то возникает еще больше вопросов
Так как невозможно учесть ситуации всех, текст становится слишком абстрактным и как итог ненужным
Потому что якобы есть bsimm, но если его читать и брать как лучшие практики, то возникает еще больше вопросов
Так как невозможно учесть ситуации всех, текст становится слишком абстрактным и как итог ненужным
AA
поэтому каждый гнет свою линию, возникает конфликт интересов и все начинают делать свои велосипеды и понимать всё по своему :)
вот именно поэтому этим должны заниматься SRE. "от и до"
MM
Хм, звучит как...незанятая и востребованная полянка, что ли 🤔
я думаю, что боли построения апсек выберу тему вебинара))
+ дележ опытом
+ дележ опытом
AR
вот именно поэтому этим должны заниматься SRE. "от и до"
с учетом того что появился SRE это мне видится самым логичным в современном мире
С
Хм, звучит как...незанятая и востребованная полянка, что ли 🤔
Пока этим не займётся какой-нибудь адекватный комитет, типа OWASP или NIST, высок шанс, что это будет полянка для очередных велосипедов