Comments 10
Кажется проблема решается привлечением руководителя, который свято уверовал в то, что название должности защищает от всех вирусов ))))
Первично это архитектор должен продумывать, а не разраб. Совместно с ИБ, естественно.
А дальше, в идеале, - DevSecOps. Но это когда разрабы не упираются. А такого, чтобы они не упирались, практически не бывает.
Слушайте выпуск целиком, чтобы выяснить, как мы этого добились!
А хотелось почитать...
хах, забавный промоушен подкаста
можно даже и послушать после такого
Клас ! Но думаю лучшая безопасность по совету , это принципиально, кардинально иной подход чем принято в массах , тоесть вообще необходимо отойти от стереотипов и устоявшихся обычаев , проблема в том что какова бы не была защита пока они не кардинально другая ее обойдут рано или поздно , иногда стоит на весь процесс посмотреть сверху, а теперь посмотрите ещё свыше , и тогда подход возможно сам придет в голову , дело не самом когда а логике доступа и он может быть даже на уровне харда́.
Мысли вслух.
Когда мы пользуемся внешними компонентами, мы подвергаемся риску информационной безопасности
То ли дело когда у нас государственно одобренные движки баз данных, а все запросы ходят исключительно через лицензионные ФСБ и ФСТЭК Vipnet'ы, тогда ИБ будет довольна. И без разницы, что база смотрит в открытую сеть и доступна без пароля, главное что все бумажки нужные присутствуют.
Как ИБшник, уставший от этого Сизифова труда и ушедший в разработку, убежден, что если безопасников подключать на этапе проектирования системы, скорее всего продукт никогда даже до MVP не дойдет.
Дядя Боб вообще советует высокоуровневые абстракции от конкретных компонент, чтобы оставить выбор БД «на потом». Но это вызовет много вопросов при highload…
Поспорили как-то разработчик с безопасником о том, как построить дом…