Комментарии 7
Чек-лист, скорее, для администраторов и специалистов по ИБ, а не для разработчиков.
Есть спорные моменты, конечно, но в основном не плохо.
А разработчики должны по умолчанию об этом думать и знать.
Ибо потом придётся переделывать свое «решето» много раз.
Не в адекватности дело, а в ориентированности: по заголовку для разработчиков, а по сути лишь с десяток пунктов из полусотни относятся к разработке, а остальное к администрированию, ИБ и прочей эксплуатации. Лучше отдельные чеклисты делать для девов и отдельные для админов/безошников — и более детально можно расписать и усвояемость лучше.
Всегда пилили свой маленький кусочек кода не задумываясь о системе в целом…
С другой стороны бывают компании / проекты, где команда всего 3 человека, и все они немного девы / админы / безопасники / тестировщики / архитекторы.
А чек-лист, на то и чек-лист… Все вопросы собраны в один список.
Я участвовал в разных проектах в разных ролях. Практически никогда не было "пилю свой маленький кусочек кода", практически всегда достигал роли ведущего разработчика и(или) архитектора, но попутно приходилось заниматься практически всеми вопросами из этого чеклиста и не только. По принципу "ты же программист", "больше некому", а также "это же напрямую к разработке относится — вот ссылка (на подобный чеклист)". И приходилось (и приходится) заниматься вопросами типа безопасности инфраструктуры и организацией мониторинга приложения. Но мне это сильно не нравится, с одной стороны, а, с другой, когда я этим всё же занимаюсь, то четко сознаю в роли кого я выступаю в данный момент, вплоть до того, что сам как архитектор себе как, например, админу задачи ставлю типа "изолировать веб-сервера от серверов СУБД, разместив их в разных подсетях без доступа друг к другу".
Безопасность в веб-разработке: чек-лист