Wpis z mikrobloga

Skopiuj link

09.11.2025, 12:39:09

Hej, kogo z #programowanie w-----a ogarnianie security przed release? Mnie to właśnie trochę dziwi, ale spotkałem się z tym, że programiści w w robocie często baaaaaardzo nie lubili robienia tej części. Przychodzi Security Engineer i robi dodatkowe testy, każe poprawić różne rzeczy w kodzie, robić threat modeling, pouzupełniać dokumentacje o informacje gdzie są trzymane klucze certyfikaty itp.

Ogółem rozumiem jeszcze, że nie każdy lubi poprawiać dokumentacje ale poza tym zwykle te zgłaszane bugi z security czy dodatkowe testy są sensowne. Ale i tak większość zespołu psioczy i klnie na tą część.

#programista15k #cyberbezpieczenstwo #cybersecurity #security #webdev #java

greenbox

09.11.2025, 12:43:06 via Wykop

@pearlkele: Przecież takie rzeczy to się ustala na etapie projektowania aplikacji

pearlkele

09.11.2025, 13:09:24 via Wykop

@greenbox: No widocznie powinno się, gościu od security też tak mówi, że to trzeba wcześnie zaczynać z threat modelowaniem i myśleniem o tym w dokumentacji. Tylko architekt nie ogarnia albo nie wiem co bo bo często ci od security i tak znajdą jakieś braki.

No a testy to już inna sprawa, do niektórych trzeba mieć kompletną aplikacje. Np. odpala sobie fuzzery na 48h by coś znaleźć no i musi być

greenbox

09.11.2025, 13:25:50 via Wykop

@pearlkele: U nas architekt siada z security i ustalają wszystko na początku. Na koniec i tak są testy i chłopaki muszą czasem coś tam poprawić, ale generalnie od początku buduje się apkę zgodnie z ustaleniami infosec

szefczyk

09.11.2025, 13:59:30 via Wykop

@pearlkele: Panie jakie security, keycloaka z tutoriala na proda w---------y będzie git. ( ͡° ͜ʖ ͡°)

Kresse

09.11.2025, 16:09:17 via Wykop

@pearlkele: Jakie security? Na wczoraj potrzebne są 2 nowe ficzery, bo to jest WARTOŚĆ dla klienta. Poza tym Kamilek spędził cały ostatni sprint na refaktoryzacji jednego DTO. Narazie nie mamy miejsca na techniczne tematy.

RapIArbuzy

09.11.2025, 18:28:04 via Wykop

@pearlkele: wiesz w ilu firmach są audyty bezpieczeństwo lub security review? xd

pearlkele

10.11.2025, 12:32:06 via Wykop

@RapIArbuzy no w sumie to nie wiem. Ja tylko w 2 różnych korpo robiłem i zawsze było kilka wewnętrznych teamów security. Nie mam pojęcia czy tak to wygląda w większości firm, zwłaszcza małych czy średnich.

RapIArbuzy

10.11.2025, 12:41:33 via Wykop

@pearlkele: powiem tak, to jest rzadkość. firmy mają w------e na security do czasu incydentu i nie mówię o małych czy średnich firmach. zdziwiłbyś się jakie jest podejście do security w firmach których produkty używasz.