V
Кстати, кажется нам в хэнгопс какой-то очень вменяемый безопасник приходил. Помнишь такого?
Ну, был @AlexAkulov , может он ещё помнит кого)
Size: a a a
2021 January 25
AA
Я ненастоящий безопасник, я просто год рядом с ними потусил))
OS
Я ненастоящий безопасник, я просто год рядом с ними потусил))
Иди настрой Диме всё
AA
Вообще, ощущение что какая-то беда с безопасниками, я уже убрал у себя отовсюду все упоминания security но мне всё пишут и пишут, зовут SDLC настраивать.
V
Вообще, ощущение что какая-то беда с безопасниками, я уже убрал у себя отовсюду все упоминания security но мне всё пишут и пишут, зовут SDLC настраивать.
Спрос есть, люди с деньгами стоят в очереди, чего ты отнекиваешься?)))
Ну, отправляй их вон к @httpnotonly , он знает куда пристроить. Скажи, по рефералке скидка 5% 😂
Ну, отправляй их вон к @httpnotonly , он знает куда пристроить. Скажи, по рефералке скидка 5% 😂
MM
Спрос есть, люди с деньгами стоят в очереди, чего ты отнекиваешься?)))
Ну, отправляй их вон к @httpnotonly , он знает куда пристроить. Скажи, по рефералке скидка 5% 😂
Ну, отправляй их вон к @httpnotonly , он знает куда пристроить. Скажи, по рефералке скидка 5% 😂
15)
MM
Ну 10 в карман и им 5)
AA
Ну т.е. я два года назад тренд правильно почуял.
Но что-то вот так и не смог монетизировать)
Но что-то вот так и не смог монетизировать)
MM
На самом деле совершенно благотворительный бизнис)
Какие бы ты не показывал очевидные преимущества, всегда найдется сотрудник, которому вот прям нужен сотрудник. Даже после любого демо
Какие бы ты не показывал очевидные преимущества, всегда найдется сотрудник, которому вот прям нужен сотрудник. Даже после любого демо
MM
Ничего не потерял :)
Но на ближайшие годы вполне уверенный неудовлетворённый спрос. Как раз из-за вышеописанного
Но на ближайшие годы вполне уверенный неудовлетворённый спрос. Как раз из-за вышеописанного
I
На самом деле совершенно благотворительный бизнис)
Какие бы ты не показывал очевидные преимущества, всегда найдется сотрудник, которому вот прям нужен сотрудник. Даже после любого демо
Какие бы ты не показывал очевидные преимущества, всегда найдется сотрудник, которому вот прям нужен сотрудник. Даже после любого демо
может аопрос недоверия? безопасность - достаточно щепетильно...
c
Скорее всего либо времени, либо желания нет самому этим заниматься. Вот и нужен человек, который будет смотреть на эти демки.
AA
Я прекрастно понимаю зачем человек нужен.
Вот я snyk прикрутил, он там кучу уязвимостей находит постоянно. Но нужен человек который эту кучу разгребёт, найдёт реальные проблемы и пойдёт конкретные таски программистам заведёт.
Просто так тулы втаскивать особой пользы нету.
Вот я snyk прикрутил, он там кучу уязвимостей находит постоянно. Но нужен человек который эту кучу разгребёт, найдёт реальные проблемы и пойдёт конкретные таски программистам заведёт.
Просто так тулы втаскивать особой пользы нету.
MM
Я прекрастно понимаю зачем человек нужен.
Вот я snyk прикрутил, он там кучу уязвимостей находит постоянно. Но нужен человек который эту кучу разгребёт, найдёт реальные проблемы и пойдёт конкретные таски программистам заведёт.
Просто так тулы втаскивать особой пользы нету.
Вот я snyk прикрутил, он там кучу уязвимостей находит постоянно. Но нужен человек который эту кучу разгребёт, найдёт реальные проблемы и пойдёт конкретные таски программистам заведёт.
Просто так тулы втаскивать особой пользы нету.
Именно
Разбор репортов это уже надо сажать человека. Ну правда тоже можно на команду скинуть, но тем не менее
Разбор репортов это уже надо сажать человека. Ну правда тоже можно на команду скинуть, но тем не менее
MM
Но сколько стоит разбиратель и секдевопс. И будет ли последний заниматься первым
MM
И сколько времени пройдет тоже от "хотим с 0 процесс" до первых тикетов от сканера, ручного анализа и багбанути.
AA
Ну мне не кажется, что грамотно разбирать эти репорты это проще чем пайплайн настраивать.
Нужно понимать что за код у тебя крутится, понимать используется ли у тебя вообще этот уязвимый кусок или нет.
Есть программисты которые любят в инфраструктуру погружаться, тут думаю тоже должен быть программист которому безопасность интересна.
Нужно понимать что за код у тебя крутится, понимать используется ли у тебя вообще этот уязвимый кусок или нет.
Есть программисты которые любят в инфраструктуру погружаться, тут думаю тоже должен быть программист которому безопасность интересна.
I
Вообще, ощущение что какая-то беда с безопасниками, я уже убрал у себя отовсюду все упоминания security но мне всё пишут и пишут, зовут SDLC настраивать.
Почему убрал? Не интересно?
AA
Почему убрал? Не интересно?
Я понял, что безопасность это очень большая тема, которую мне нужно ещё очень долго раскуривать чтобы не быть дилетантом. Это как пойти из дивопса во фронтенд разраба переквалифицироваться. Можно это сделать, но ты потратишь несколько лет и в итоге придёшь к той же самой зарплате что и сейчас. И смысл всего этого неясен.
MM
Ну мне не кажется, что грамотно разбирать эти репорты это проще чем пайплайн настраивать.
Нужно понимать что за код у тебя крутится, понимать используется ли у тебя вообще этот уязвимый кусок или нет.
Есть программисты которые любят в инфраструктуру погружаться, тут думаю тоже должен быть программист которому безопасность интересна.
Нужно понимать что за код у тебя крутится, понимать используется ли у тебя вообще этот уязвимый кусок или нет.
Есть программисты которые любят в инфраструктуру погружаться, тут думаю тоже должен быть программист которому безопасность интересна.
Дешевле не = проще :)
Мы кстати поэтому и пользуем доджу и настраиваем дедупликацию. В итоге в команду падает по 1-2 тикетам в неделю и они спокойно помечают их как фолз/конферм. Ну или же мы сами валидируем багу по коду. Это уже как процесс построить)
Команды обычно сами не против в этом на небольших объемах покопаться. (Обычно кто горит секурити, но не сталкивался🙂)
Мы кстати поэтому и пользуем доджу и настраиваем дедупликацию. В итоге в команду падает по 1-2 тикетам в неделю и они спокойно помечают их как фолз/конферм. Ну или же мы сами валидируем багу по коду. Это уже как процесс построить)
Команды обычно сами не против в этом на небольших объемах покопаться. (Обычно кто горит секурити, но не сталкивался🙂)