Hej, kogo z #programowanie w-----a ogarnianie security przed release? Mnie to właśnie trochę dziwi, ale spotkałem się z tym, że programiści w w robocie często baaaaaardzo nie lubili robienia tej części. Przychodzi Security Engineer i robi dodatkowe testy, każe poprawić różne rzeczy w kodzie, robić threat modeling, pouzupełniać dokumentacje o informacje gdzie są trzymane klucze certyfikaty itp.
Ogółem rozumiem jeszcze, że nie każdy lubi poprawiać dokumentacje ale poza tym zwykle
@greenbox: No widocznie powinno się, gościu od security też tak mówi, że to trzeba wcześnie zaczynać z threat modelowaniem i myśleniem o tym w dokumentacji. Tylko architekt nie ogarnia albo nie wiem co bo bo często ci od security i tak znajdą jakieś braki.
No a testy to już inna sprawa, do niektórych trzeba mieć kompletną aplikacje. Np. odpala sobie fuzzery na 48h by coś znaleźć no i musi być
@RapIArbuzy no w sumie to nie wiem. Ja tylko w 2 różnych korpo robiłem i zawsze było kilka wewnętrznych teamów security. Nie mam pojęcia czy tak to wygląda w większości firm, zwłaszcza małych czy średnich.
Ogółem rozumiem jeszcze, że nie każdy lubi poprawiać dokumentacje ale poza tym zwykle
No a testy to już inna sprawa, do niektórych trzeba mieć kompletną aplikacje. Np. odpala sobie fuzzery na 48h by coś znaleźć no i musi być