RR
Size: a a a
2019 November 24
V
И чем больше команда тем меньше ответственность)
Так разве бывает большая команда на 1 сервис? Больше чем ту пицца?
Если это не какой-то монолит там
Если это не какой-то монолит там
RR
Даже если не монолит я больше видел большие команды поделенные на подсистемы
RR
RR
Ну и интересный вопрос - если у тебя 10 команд, где место одного-двух секопс
RR
По хорошему в каждой должно быть минимум по 1 эксперту
RR
Кароче что то не стыкуется
RR
И он должен прям в циклах разработки участвовать
RR
Ежедневно
RR
Continuously
V
По хорошему в каждой должно быть минимум по 1 эксперту
Ну если это self-contained team прям, то может быть.. тут @oleg40a может расскажет нам , как надо в теории)
Но ты же понимаешь, что по 1 безопаснику на каждую команду слишком жирно и дорого. Да и, скорее всего, не будет работы прям на столько. Ну зависит, конечно, но в целом.
Я не знаю, мне тоже интересно :)
Но ты же понимаешь, что по 1 безопаснику на каждую команду слишком жирно и дорого. Да и, скорее всего, не будет работы прям на столько. Ну зависит, конечно, но в целом.
Я не знаю, мне тоже интересно :)
V
По хорошему в каждой должно быть минимум по 1 эксперту
Скорее тема security champions нужна и выгоднее
V
Security, как надёжность (SRE), просто доп.опция продукта :)
W
Разраб топит за секурити только если он отвечает за прод мне так кажется
не топит, а может топить.
далеко не везде
далеко не везде
OS
Ну если это self-contained team прям, то может быть.. тут @oleg40a может расскажет нам , как надо в теории)
Но ты же понимаешь, что по 1 безопаснику на каждую команду слишком жирно и дорого. Да и, скорее всего, не будет работы прям на столько. Ну зависит, конечно, но в целом.
Я не знаю, мне тоже интересно :)
Но ты же понимаешь, что по 1 безопаснику на каждую команду слишком жирно и дорого. Да и, скорее всего, не будет работы прям на столько. Ну зависит, конечно, но в целом.
Я не знаю, мне тоже интересно :)
В теории, а также и на практике, действительно стараются иметь как минимум одного security-minded разработчика в команде. Называют кто чемпионом, кто участником гильдии - это по вкусу. А в безопасниках, кроме тех, кто умеет на бумаге комплаенсы рисовать, держат тех, кто будет инструменты встроеной безопасности шифтить влево и обучать всех не чемпионов постоянно.
W
SREcurity
S
Security, как надёжность (SRE), просто доп.опция продукта :)
Как вы лихо все свойства безопасности информации свели к надёжности.
V
Stanislav Sharakhin
Как вы лихо все свойства безопасности информации свели к надёжности.
Не.
Я про то, что в SRE двигается тема, что Надёжность - просто ещё одна опция/фича продукта. Которую команда должна учитывать и проектировать заранее и постоянно.
И так же стоит с security, что это одна из опций, как и обычные фичи
Я про то, что в SRE двигается тема, что Надёжность - просто ещё одна опция/фича продукта. Которую команда должна учитывать и проектировать заранее и постоянно.
И так же стоит с security, что это одна из опций, как и обычные фичи
k
Это все понятно, а как строить все это когда приходишь в уже сформированные процессы. P.S. Не ради срача, а скорее совета от опытных спецов
RR
Искать разработчиков с опытом безопасности и распихивать по командам видимо