Pull to refresh
  • by relevance
  • by date
  • by rating

Вигерс, ты не прав! Ещё раз об итеративной и инкрементальной разработке

Project management *Agile *Product Management *
Наверное, всякий, кто когда-либо пытался осознать специфику различных подходов к разработке программного обеспечения, задавался вопросами: в чём отличие между итеративной и инкрементальной разработкой? Agile – итеративный? RUP – инкрементальный?

Под катом очередное рассуждение на эту тему и заочный спор с Карлом Вигерсом.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 7.4K
Comments 1

QIWI Security Development Lifecycle

QIWI corporate blog Information Security *IT systems testing *
Sandbox

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…


Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.


Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.


С чего начать? Наш план был прост:


  1. Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
  2. Прикрутить модные сканеры безопасности.
  3. Отревьюить пару десятков приложений.
  4. Откинуться в кресле, наблюдая за тем, как это все само работает.

image
Читать дальше →
Total votes 18: ↑18 and ↓0 +18
Views 9.4K
Comments 7

Вебинар «Тестирование приложений на уязвимости. Практика построения SDLC»

Ростелеком-Солар corporate blog
Вдумчивый подход к выстраиванию SDLC – половина успеха продукта. В процессе разработки мы пытаемся обнаруживать ошибки как можно раньше, поэтому настраиваем автоматизацию жизненного цикла программного обеспечения, в том числе, подключаем автоматическое тестирование. Интеграция сканера кода в этот процесс выглядит логичной и правильной идеей, однако не все так просто. Чтобы использование сканеров кода принесло ожидаемую пользу, надо знать, как правильно встроить их в жизненный цикл разработки продукта, какие сложности могут при этом возникать и как их можно решить.


Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 2.3K
Comments 0

Внедряем безопасность в процесс разработки крупного проекта

Digital Security corporate blog Information Security *Web services testing *Mobile applications testing *



В данной статье нам хотелось бы поделиться своим опытом внедрения нашей команды пентестеров в цикл разработки большого проекта «МойОфис». Найти материал подобной тематики с реальными кейсами на русском языке практически невозможно. Всем, кого интересует модные направления пентестов, теория, практика, методики, тулзы и реально найденные уязвимости в контексте безопасной разработки, — добро пожаловать под кат. Статья изобилует полезными ссылками на теоретические и практические материалы. Но давайте по порядку.

Читать дальше →
Total votes 46: ↑43 and ↓3 +40
Views 20K
Comments 6

Как правильно использовать статический анализ

Ростелеком-Солар corporate blog Information Security *
Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический анализатор. Если вы пробовали какой-нибудь серьезный инструмент, вас могли отпугнуть длинные отчеты с запутанными рекомендациями, сложности настройки инструмента и ложные срабатывания. Так все-таки нужен ли статический анализ?

Наш опыт подсказывает, что нужен. И многие проблемы, которые возникают при первом взгляде на инструмент, вполне можно решить. Попробую рассказать, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Views 9.3K
Comments 17

Сканирование на уязвимости и безопасная разработка. Часть 1

Information Security *IT Infrastructure *Web services testing *Development Management *DevOps *
image

В рамках профессиональной деятельности разработчикам, пентестерам, безопасникам приходится сталкиваться с такими процессами, как Vulnerability Management (VM), (Secure) SDLC.
Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их потребители различаются.

Технический прогресс пока не дошёл до того, чтобы одним инструментом заменить человека для проведения анализа защищённости инфраструктуры и ПО.
Интересно понять, почему это так, и с какими проблемами приходится сталкиваться.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 10K
Comments 2

Application Security Manager. Разработчик или безопасник?

Ростелеком-Солар corporate blog Information Security *Perfect code *Development of mobile applications *Interview
Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно использовать сканер as is, то когда объемы большие, приходится автоматизировать процесс. Но кто должен им управлять? Решать, как часто проверять релизы? Заниматься верификацией уязвимостей? Принимать решение, наложить ли вето на релиз и отправить код на устранение уязвимостей? И отвечать на многие другие вопросы. Вот тут на авансцену выходит Application Security Manager — менеджер по безопасной разработке ПО.

image

Но где сыскать такую редкую птицу или как вырастить самим? Артем Бычков, менеджер по безопасности приложений АО «Райффайзенбанк», и Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар», рассказывают, какие требования к Application Security Manager диктует практика разработки в российских компаниях.
Читать дальше →
Total votes 25: ↑24 and ↓1 +23
Views 4.6K
Comments 1

Как внедрить статический анализатор в разработку, чтобы всем было хорошо?

Ростелеком-Солар corporate blog Information Security *Perfect code *Development Management *Software
В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы всё всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический анализатор или уже собираетесь его внедрять. Как наладить процесс, чтобы обнаруженные в коде уязвимости стали наконец исправляться? В этой статье мы попробуем помочь вам разобраться с этим вопросом.
image
Читать дальше →
Total votes 24: ↑24 and ↓0 +24
Views 4.4K
Comments 15

V&V не значит вендетта

Arcadia corporate blog IT systems testing *Web services testing *
🔥 Technotext 2020


На протяжении последних шести лет я занимаюсь разработкой и приёмочным тестированием самых разных по сложности и размеру приложений для проведения и сопровождения клинических исследований. Big data, огромное количество визуализаций и представлений, хранилища данных, ETL и тому подобное. Продуктом пользуются врачи, менеджмент и люди, которые участвуют в контроле и наблюдении за исследованиями.

Для приложений, которые оказывают или могут оказать прямое влияние на жизнь и здоровье пациентов, обязателен формальный процесс приёмочного тестирования. Результаты приёмочного тестирования вместе с остальным пакетом документации предоставляются для аудита в FDA (Food and Drug Administration, США). FDA выдаёт разрешение на использование приложения в качестве инструмента контроля и проведения клинических исследований. В общей сложности в моей команде разработано, протестировано и отправлено в продакшен более тридцати приложений. В данной статье я коротко расскажу о приёмочном тестировании и развитии инструментов в одной отдельно взятой маленькой группе.

Note: я не претендую на истину в последней инстанции и прекрасно понимаю, что большая часть того, о чём я пишу, — монолог Капитана Очевидность. Но я надеюсь, что описанное окажется полезным и начальному уровню, и командам, которые сталкиваются с этим в повседневной работе, или хотя бы порадует тех, у кого процессы попроще.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 2.2K
Comments 2

V&V not for vendetta

Arcadia corporate blog IT systems testing *Web services testing *


Over the past six years, I have worked on developing and acceptance testing of the applications for conducting and supporting clinical trials. Applications of various sizes and complexity, big data, a huge number of visualizations and views, data warehousing, ETL, etc. The products are used by doctors, clinical trials management and people who are involved in the control and monitoring of research.

For the applications that have or can have a direct impact on the life and health of patients, a formal acceptance testing process is required. Acceptance test results along with the rest of the documentation package are submitted for audit to the FDA (Food and Drug Administration, USA). The FDA authorizes the use of the application as a tool for monitoring and conducting clinical trials. In total, my team has developed, tested and sent to the production more than thirty applications. In this article, I will briefly talk about acceptance testing and improvement of tools used for it.

Note: I do not pretend to be the ultimate truth and completely understand that most of what I write about is a Captain Obvious monologue. But I hope that the described can be useful to both the entry level and the teams that encounter this in everyday work, or at least it may make happy those who have simpler processes.
Read more →
Total votes 2: ↑1 and ↓1 0
Views 268
Comments 0

Скребём Github: поиск «секретов» разработки

Ingram Micro Cloud corporate blog Information Security *
image

При разработке софтверного продукта или облачного SaaS-сервиса достаточно трудно отслеживать сторонние активности всех специалистов, вовлеченных в процесс разработки. Достаточно открыть Github, ввести в поиске «<имя_домена_компании.com> pass» и оценить выдачу. В том случае, если вдруг Github действительно показывает в своей выдаче что-то интересное, то мы рассмотрим сценарии, которые могут помочь злоумышленникам нарушить бизнес-процесс твоей компании. А если Github все же молчит, то рассмотрим альтернативные варианты атаки на цикл разработки продукта, при которых точкой входа в инфраструктуру могут стать не только разработчики, но даже Security-инженеры.
Читать дальше →
Total votes 10: ↑10 and ↓0 +10
Views 4.3K
Comments 1

(S)SDLC, или Как сделать разработку безопаснее. Часть 1

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
image

С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с организационной точки зрения можно построить процесс на основе статического анализа.

Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.
Читать дальше →
Total votes 8: ↑8 and ↓0 +8
Views 4.2K
Comments 0

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM

Ozon Tech corporate blog Information Security *
5 марта 2020 года в офисе OZON прошёл очередной митап Московского отделения сообщества OWASP. Кажется, что получилось здорово, а краткий отчёт с материалами встречи был недавно опубликован на Хабре. В этом же посте представлен доклад oxdef.

Продолжая серию экспресс-докладов про проекты OWASP, сегодня мы поговорим о OWASP SAMM — одном из важнейших проектов сообщества. В начале года вышла его вторая версия — и это хороший повод рассказать о фреймворке подробнее.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 2.8K
Comments 0

(S)SDLC, или Как сделать разработку безопаснее. Часть 2

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
– Наташ, а Наташ? Мы там, это… SAST внедрили.
– Мы там всё уронили, Наташ. Вообще, всё!!!
– Пайплайны стоят, очередь забита…
– Ни одной сборки не прошло! Вставай, Натаааш!




Вот так примерно можно проснуться на следующее утро после внедрения в разработку статического анализа кода. Если заранее не подготовиться к этой увлекательной процедуре.
А можно получить совсем другой, намного более позитивный и полезный для разработки и бизнеса результат. Если учесть при внедрении ряд технических нюансов SAST-анализа и вовремя подстелить соломку. Об этих нюансах сегодня и поговорим!
Читать дальше →
Total votes 11: ↑10 and ↓1 +9
Views 2.6K
Comments 0

(S)SDLC, или Как сделать разработку безопаснее. Часть 3

Ростелеком-Солар corporate blog Information Security *IT systems testing *Perfect code *Product Management *
Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные вопросы, возникающие при внедрении SAST в процесс разработки. Во второй части остановились на технических аспектах внедрения и разобрали несколько примеров выстраивания SSDLC на практике. В последней части расскажем об организационных моментах.

Для большинства компаний использование SAST — это новый процесс, а уязвимость — новая сущность. Уязвимость — это не баг и не функциональное требование, и нужно выстраивать процесс работы с новой сущностью. Нельзя забывать про историческое разделение безопасности и разработки, которое особенно обостряется, когда в процесс разработки нужно внедрять что-то новое. Масла в огонь подливают и технические особенности статического анализа, о которых мы говорили во второй части.

Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 3.5K
Comments 0

Что такое SDLC? Этапы, методология и процессы жизненного цикла программного обеспечения

Дата-центр «Миран» corporate blog Programming *Designing and refactoring *Project management *
Translation
Цитируя автора книги Managing Information Technology Projects Джеймса Тейлора, «жизненный цикл проекта охватывает всю деятельность проекта». Задачей же разработки ПО является выполнение требований продукта. Если вы хотите научиться создавать и выпускать высококачественное ПО, вам придется следовать плану. Со слов Тейлора, вашей целью должен стать всесторонний анализ деятельности проекта и контроля каждого этапа его разработки. Вот только с чего именно начать?

Ответить можно так: направить ваш рабочий процесс в верном направлении поможет подходящий фреймворк. В наши дни довольно сильным и популярным фреймворком является SDLC – жизненный цикл программного обеспечения.

Принципы работы SDLC и почему им пользуются


На диаграмме ниже можно ознакомиться с шестью основными этапами SDLC.



В целом, SDLC это такой замкнутый цикл, в котором каждый этап влияет на действия в последующих и дает перспективные указания на будущее. Для получения ответов на конкретные вопросы и обеспечения согласованности вашего процесса разработки все шесть этапов стараются эффективно и последовательно друг на друга влиять.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Views 87K
Comments 0

Процессы разработки, или сколько стоит сделать сайт

Development Management *Project management *Personnel Management *IT career Interview

Однажды прораб обсуждал с потенциальным заказчиком ремонт небольшого дома. Владельца дома беспокоило, что стены накренились. Дом был сложен из кирпичей, кирпичные стены просто стояли на земле. По всему периметру дом укрепляли деревянные подпорки, но стены так и норовили обвалиться. 

— Ваш дом в аварийном состоянии, требуется реконструкция, - сказал прораб. — Мы протянем силовой кабель, чтобы запитать оборудование, выроем котлован, сделаем водоотведение, зальем фундамент…— Нет, нет! — прервал его владелец дома, — мне не нужен котлован, мне нужны стены! Дом!— В таком случае, может быть, Вы подумаете о покупке модульного дома? — предложил прораб. 

В прошлом месяце я общался со стартапом. У него есть работающий веб-сервис, который разные люди писали несколько лет, и теперь руководство думает что с ним делать. Основатели попросили составить список того, что я предлагаю им сделать

Читать далее
Total votes 11: ↑10 and ↓1 +9
Views 7.8K
Comments 9

У Вас проблемы с legacy — значит, Вам повезло! Распил монолита на PHP

PHP *Symfony *Development Management *Project management *
✏️ Technotext 2021

Меня часто просят рассказать о работе с legacy-монолитами. Про микросервисную архитектуру и переход на нее говорят много, но редко упоминают о том, что проекты приходят ней после многих лет роста с монолитным приложением. Учебники по решению проблем не пишут. Чтобы поменять архитектуру живого решения, надо пройти через несколько этапов. Автор работал с разными проектами - и с полноценным multitenancy service-oriented REST architecture, и с огромным монолитом, в репозитории которого были коммиты за десять лет. Эта статья - о темной стороне, о legacy-коде, и практических решениях проблем с монолитным кодом на PHP.

Читать далее
Total votes 22: ↑20 and ↓2 +18
Views 9K
Comments 69
1