1807
Чат для обсуждения DevSecOps и постов канала @sec_devops Вакансии: @appsec_job Услуги: https://radcop.online/
Безопасный хотя бы в базе
Читать полностью…
Всякие были, но мы ушли в сторону.
Обязанности кодеров - писать качественно, чтобы решало поставленную задачу
И да, ты правильно говоришь про качество, но почему-то такой подход к безопасности не популярен.
Типа развернуть квалити гейт, ввести какие-то правила для линтеров кода, подключить разработку к этому, разработать правила/соглашения о наборе кода... Ну, так-то понятно почему такое не популярно - оторвано от реальности, ибо на практике такое сложно реализовать
На прошлой неделе это прилетело, но его, вроде, можно удалить
Читать полностью…
На тему, кто хозяин наших данных
Читать полностью…
Но почему бы и нет, если работает подход 🤷🏿♂🤔👍
Читать полностью…
так для этого процесс с апрувом выстроен, только после апрува от апсека исключения применяются, а не просто добавил и все)
в комите указывается комментарии почему и зачем
аппсек уже рассматривает и если есть вопросы или замечания обсуждает
А почему он исключения добавляет?
Читать полностью…
Я упомянул что перекладывать плохо, да. Просто суть не в том что перекладывать хорошо/плохо, а в том "что кодеру хорошо, то безопасности смерть"
(Ну, типа начнёт кодер разбирать отчёт, пропустит что-то, что по его мнению ок, а потом цирк сгорел)
в этом и суть сейчас
по сути апсеков на всех команд разработки просто не хватает из-за количества и соотношения простого
все разбирается совместно в виде разрабы точно знают где и что лежит в репах и могут быстро сказать что можно сразу исключить из результатов и часть задачи ускоряется
в части разбора false-positve или дичи конкретной
если говорить про детальный разбор, то тут уже конкретно апскеи разбирают файндинги и с разрабами обсуждают как исправить или как делать стоит/не стоит
тут не стоит вопрос чтобы переложить задачу на разрабов, а скорее в условиях количества спецов упросить процесс уже разбора реальных уязвимостей
Например получил срабатывание "выявлен запрос к такому-то хосту". Смотрит что там? Видит компонент используемый качается. Всё ок, работаем
Читать полностью…
Многостаночный подход к работе/рабочим процессам - признак того что эти процессы криво работают
(это когда один человек выполняет функции нескольких)
Ты в парадимге живешь когда эти 2 команды - враждуют, а не помогают. Имхо в идеале - апсек прошел быстро снял то что прям совсем-совсем бред, остальное разрабы прокоментили, он почитал и либо подтвердил либо отклонил. Это еще и потому, что в больших конторах апсек 1 на проектов 10 (если повезло, знаю кто 1 на 50). Он просто в узкое место превратится если в е триажить будет
Читать полностью…
ну или нанимается спец менеджер. который рядом в Product Owner отвечает за инфру проекта и разбирает Non Functional/Business Requirements таски и трекает как девелоперы закрывают уязвимости в том числе.
Читать полностью…
Или ссаными тряпками надо гнать appsec bp
Читать полностью…
Кодер = программист?
Если так, то относительно странная позиция. Потому что мне кажется, что это не зона ответственности кодера.
Он может писать производительный код, декларативный, соблюдать SOLIDS и KISS принципы, следить за архитектурой таким образом для того чтобы система была легка в поддержке и др.
Но он не должен уметь писать безопасный код. К сожалению, если мы придем к тому, что программисты еще и безопасный код будут знать как писать, то нас с вами не будет 🙂
Сочувствую, если пришлось работать только с такими )
Читать полностью…
Кодер - это как правило человек способный набирать код, выполнять поставленные тасочки, утром на митингах отвечать о проделанной работе, участвовать в ретро и т.п.
Читать полностью…
Так это их обязанность - писать качественный код (безопасность часть качества).
Отличный кодер просто недопустит бреши в безопасности.
А фолзы - это чаще всего галлюцинации сканеров или особенности проектов (md5 для подписи например).
Кстати, кто не в курсе:
https://thehackernews.com/2025/02/google-confirms-android-safetycore.html?m=1
(Supply chain, гыгы)
Кому лень читать - Android System SafetyCore накатили на все андроиды тихо и без спроса (системные обновления, ага, да 😅)
Жалко мне ваших кодеров 🙄😐😅
Читать полностью…
Ну, а что если он бекдор оставил и в исключения добавил? 🤔
Читать полностью…
тут скорее не упомянул это, но да, первичная часть (рутины) в любом случае отдается на appsec в части первоначального триажа в виде исключений типо конфигов или скриптов автоматизации которые сразу видны в проектах
со втрой части уже разраб добавляет свои которые ему в конкретном проекте понятнее и могут быть не понятны
далее совместная работа в любом случае когда аппсек выявляет сработки и пингует или обсуждает исправления или обнаруженные файдинги критичные в первую очередь
тут не про то, чтобы все на разраба слить и на его плечи этот процесс повесить
У вас точно что-то не то с аппсеками... Одного Джуна человека достаточно на 4-5 крупных проектов при лиде, который занимается первичным разбором, поручением рутины джуну, связью с разрабами/деплоем/чем-то ещё.
В условиях ограниченного количества людей рабочий час кодера стоит больше чем рабочий час безопасника, с точки зрения пользы конторе
Нет, это конечно хорошо когда кодеры подкованы в вопросах безопасности, но требовать от них выполнения работы безопасника - ошибочный подход
Читать полностью…
Просто по смыслу если кодер будет баги разбирать - он в первую очередь руководствуется чем? Разработкой
Читать полностью…
Вот как раз таки всегда работал в условиях когда разрабы и безопасность не враждуют, а совместно решают узкие места, в остальное время безопасность занимается безопасностью, а разрабы - разработкой
Читать полностью…
Кто же должен смотреть результаты SAST-инструментов чтобы отсеять False Positive?Вот это совсем плохо.
Ответ вроде очевидный — Application Security Engineer. Но почему Application Security? Из-за глубоких знаний? Разработчик, который создал и поддерживает сервис, гораздо лучше понимает, что к чему. Не стоит забывать, что безопасность является частью качества продукта: если QA находит багу, то фиксит ее разработчик; если юнит-тест отваливается, приходит разработчик. Уязвимости исправляет тоже разработчик, а это значит, что первичную обработку срабатываний статических сканеров разработчик может делать самостоятельно.
Вот всё что там описано, про разбор, фолзов и т.п. - этим всем бипи и аппсек при нём должны заниматься, не нагружая девопсов разбором уязвимостей (у дев опсов задачи немного) и уж тем более кодеров
Читать полностью…
У вас или аппсеков нет
Читать полностью…