Да, я тоже считал древностью, а потом наткнулись. И эта оказалась одной из самых простых. Дальше мы нашли более жуткие вещи.
В погоне за скоростью ответа в системе отчетности, где пользователь через конструктор может построить необходимый ему отчет, приходилось отказываться от орм, потому что запросы генерились, мягко сказать, не оптимальные. Получилось что, можно через пару ручек выстроить полноценный доступ до всей бд. И sast такое почти не отслеживает.
А про безопасность по умолчанию- это шишка, но чужие шишки не болят, пока похожие не появятся.
А еще, когда у тебя в проект толпа сеньоров, которые спорят о лучших практиках, архитектуре и других высоких материях в купе с борьбой за скорость релиза. Как-то простые базовые вещи уходят на второй план и молча лежат пока не выстрелят. Самое страшное, что очень часто подобные штуки лежат в сторонних пятизвездочных пакетах, и ты о них даже не догадываешься.
P.S. в оправдание могу добавить, что прежде чем публиковать, пришлось дать истории отлежаться длительное время. Иначе можно получить незапланированные пентест, а это не сильно хочется)))
Да, все верно. Но умные слова и формулы появились после инцидента, до этого акценты были на ином. Возможно, сеньор был перегружен или просто отправил на вере в чудо. Мы стараемся не вести охоту на ведьм, а адаптировать систему, чтоб проблема в дальнейшем не повторилась.
Да, я тоже считал древностью, а потом наткнулись. И эта оказалась одной из самых простых. Дальше мы нашли более жуткие вещи.
В погоне за скоростью ответа в системе отчетности, где пользователь через конструктор может построить необходимый ему отчет, приходилось отказываться от орм, потому что запросы генерились, мягко сказать, не оптимальные. Получилось что, можно через пару ручек выстроить полноценный доступ до всей бд. И sast такое почти не отслеживает.
А про безопасность по умолчанию- это шишка, но чужие шишки не болят, пока похожие не появятся.
А еще, когда у тебя в проект толпа сеньоров, которые спорят о лучших практиках, архитектуре и других высоких материях в купе с борьбой за скорость релиза. Как-то простые базовые вещи уходят на второй план и молча лежат пока не выстрелят. Самое страшное, что очень часто подобные штуки лежат в сторонних пятизвездочных пакетах, и ты о них даже не догадываешься.
P.S. в оправдание могу добавить, что прежде чем публиковать, пришлось дать истории отлежаться длительное время. Иначе можно получить незапланированные пентест, а это не сильно хочется)))
Да, все верно. Но умные слова и формулы появились после инцидента, до этого акценты были на ином. Возможно, сеньор был перегружен или просто отправил на вере в чудо. Мы стараемся не вести охоту на ведьм, а адаптировать систему, чтоб проблема в дальнейшем не повторилась.
Если речь про qa, то проводится. Но они сосредоточены на функционале и подобные вещи обычно не проверяют.
Если речь про пентест -проводится, но это истории с большим интервалом. Вот в такой интервал мы и попали.