Security Champions: безопасность через мотивацию и бенефиты / Comments / Habr

andrettv Aug 13 2023 at 18:00

Есть идея более раннего и плотного включения Security Champions в цикл разработки. Называется continuous threat modelling. Уже на этапе обсуждения историй и фич Security Champions приучают команду задаваться вопросом «Что может пойти не так?», формулируя угрозы и требования безопасности, их компенсирующие. Помните, как в мультике про кота Леопольда мыши просили Золотую рыбку: «Мы хотим, чтобы мы летали» (история пользователя), а после реализации угрозы добавляли: «…и не падали» (требование безопасности)? В Agile эта техника называется behaviour-driven development. Сформированные требования после реализации историй и фич проверяются на приемке в Прод. Если какой-либо тест не прошел, фиксируется дефект. Соотношение количества дефектов к требованиям, а также время их устранения можно сделать показателями эффективности Security Champion и команды в целом.

puzankov7 Aug 30 2023 at 07:41

Андрей, привет!

Огромное спасибо за интерес, а также за предоставленные материалы, обязательно ознакомлюсь.

Данным материалом хотел донести скорее мотивационную составляющую для SecChamp, а не "точку входа".

JMos Aug 25 2023 at 04:33

Росбанк о Security Champions и интервью реальных сотрудников с этой ролью :

https://youtu.be/TyjrXzXsjUY

https://youtu.be/VThb4Buus-Q

puzankov7 Aug 30 2023 at 07:42

Привет! Спасибо за материалы, как-то пропустил, обязательно просмотрю)