Результаты поиска по запросу «[sdlc]» / Хабр

Публикации Хабы Компании Пользователи Комментарии

a0kuritcyna 17 июл 2020 в 12:50

Вебинар «Secure SDLC: безопасность как фундаментальный аспект разработки»

1 мин

556

Информационная безопасность *Управление разработкой *IT-компании

28 июля в 11:00 (МСК) приглашаем на вебинар Digital Security, где рассмотрим процесс Secure SDLC со всех сторон.

Читать дальше →

zubarek 3 окт 2022 в 16:01

Вебинар «CI/CD: как, зачем, для чего»

1 мин

611

Блог компании Southbridge

Приходите к нам на открытый вебинар «CI/CD: как, зачем, для чего» от Lead DevOps в Naviteq (ex. Onesoil and EPAM) Александра Довнара 5 октября в 19:00 (мск).

На вебинаре расскажем, что это за зверь такой, кому и когда нужен CI/CD и зачем применять его в команде, а также обсудим текущие проблемы индустрии вокруг этой практики.

+10

IvanGolubev 25 мар 2015 в 16:21

Вигерс, ты не прав! Ещё раз об итеративной и инкрементальной разработке

1 мин

9.9K

Управление проектами *Agile *Управление продуктом *

Наверное, всякий, кто когда-либо пытался осознать специфику различных подходов к разработке программного обеспечения, задавался вопросами: в чём отличие между итеративной и инкрементальной разработкой? Agile – итеративный? RUP – инкрементальный?

Под катом очередное рассуждение на эту тему и заочный спор с Карлом Вигерсом.

Читать дальше →

i-elkin 25 окт 2016 в 12:54

QIWI Security Development Lifecycle

6 мин

9.7K

Блог компании QIWI Информационная безопасность *Тестирование IT-систем *

Из песочницы

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…

Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.

Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.

С чего начать? Наш план был прост:

Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
Прикрутить модные сканеры безопасности.
Отревьюить пару десятков приложений.
Откинуться в кресле, наблюдая за тем, как это все само работает.

Читать дальше →

+18

SolarSecurity 28 мар 2017 в 13:39

Вебинар «Тестирование приложений на уязвимости. Практика построения SDLC»

1 мин

2.4K

Блог компании Ростелеком-Солар

Вдумчивый подход к выстраиванию SDLC – половина успеха продукта. В процессе разработки мы пытаемся обнаруживать ошибки как можно раньше, поэтому настраиваем автоматизацию жизненного цикла программного обеспечения, в том числе, подключаем автоматическое тестирование. Интеграция сканера кода в этот процесс выглядит логичной и правильной идеей, однако не все так просто. Чтобы использование сканеров кода принесло ожидаемую пользу, надо знать, как правильно встроить их в жизненный цикл разработки продукта, какие сложности могут при этом возникать и как их можно решить.

Читать дальше →

GShikari 2 авг 2017 в 11:04

Внедряем безопасность в процесс разработки крупного проекта

21 мин

21K

Блог компании Digital Security Информационная безопасность *Тестирование веб-сервисов *Тестирование мобильных приложений *

В данной статье нам хотелось бы поделиться своим опытом внедрения нашей команды пентестеров в цикл разработки большого проекта «МойОфис». Найти материал подобной тематики с реальными кейсами на русском языке практически невозможно. Всем, кого интересует модные направления пентестов, теория, практика, методики, тулзы и реально найденные уязвимости в контексте безопасной разработки, — добро пожаловать под кат. Статья изобилует полезными ссылками на теоретические и практические материалы. Но давайте по порядку.

Читать дальше →

+40

yaleksar 1 окт 2018 в 11:06

Как правильно использовать статический анализ

10 мин

10K

Блог компании Ростелеком-Солар Информационная безопасность *

Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический анализатор. Если вы пробовали какой-нибудь серьезный инструмент, вас могли отпугнуть длинные отчеты с запутанными рекомендациями, сложности настройки инструмента и ложные срабатывания. Так все-таки нужен ли статический анализ?

Наш опыт подсказывает, что нужен. И многие проблемы, которые возникают при первом взгляде на инструмент, вполне можно решить. Попробую рассказать, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать дальше →

+29

Beched 20 мар 2019 в 20:46

Сканирование на уязвимости и безопасная разработка. Часть 1

7 мин

12K

Информационная безопасность *IT-инфраструктура *Тестирование веб-сервисов *Управление разработкой *DevOps *

В рамках профессиональной деятельности разработчикам, пентестерам, безопасникам приходится сталкиваться с такими процессами, как Vulnerability Management (VM), (Secure) SDLC.
Под этими словосочетаниями скрываются различные наборы практик и используемых инструментов, которые переплетены между собой, хотя их потребители различаются.

Технический прогресс пока не дошёл до того, чтобы одним инструментом заменить человека для проведения анализа защищённости инфраструктуры и ПО.
Интересно понять, почему это так, и с какими проблемами приходится сталкиваться.

Читать дальше →

SolarSecurity 9 июл 2019 в 11:00

Application Security Manager. Разработчик или безопасник?

6 мин

5.8K

Блог компании Ростелеком-Солар Информационная безопасность *Совершенный код *Разработка мобильных приложений *Интервью

Большинство успешных атак организации реализуется через уязвимости и закладки в софте. К счастью, сканер уязвимостей ПО уже рассматривается компаниями не как что-то экзотическое, а как необходимый элемент инфраструктуры защиты. Если при небольших объемах разработки можно использовать сканер as is, то когда объемы большие, приходится автоматизировать процесс. Но кто должен им управлять? Решать, как часто проверять релизы? Заниматься верификацией уязвимостей? Принимать решение, наложить ли вето на релиз и отправить код на устранение уязвимостей? И отвечать на многие другие вопросы. Вот тут на авансцену выходит Application Security Manager — менеджер по безопасной разработке ПО.

Но где сыскать такую редкую птицу или как вырастить самим? Артем Бычков, менеджер по безопасности приложений АО «Райффайзенбанк», и Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар», рассказывают, какие требования к Application Security Manager диктует практика разработки в российских компаниях.

Читать дальше →

+23

SolarSecurity 29 окт 2019 в 09:00

Как внедрить статический анализатор в разработку, чтобы всем было хорошо?

8 мин

4.8K

Блог компании Ростелеком-Солар Информационная безопасность *Совершенный код *Управление разработкой *Софт

В процессе работы нам часто задают вопрос: как внедрить статический анализатор в разработку, чтобы ~~всё~~ всем было хорошо. О том, почему для безопасной разработки необходим статический анализатор, мы уже рассказывали. Эта статья будет полезна, если вы выбираете статический анализатор или уже собираетесь его внедрять. Как наладить процесс, чтобы обнаруженные в коде уязвимости стали наконец исправляться? В этой статье мы попробуем помочь вам разобраться с этим вопросом.

Читать дальше →

+24

azyryanov13 19 дек 2019 в 08:12

V&V не значит вендетта

13 мин

2.5K

Блог компании Arcadia Тестирование IT-систем *Тестирование веб-сервисов *

🔥 Технотекст 2020

На протяжении последних шести лет я занимаюсь разработкой и приёмочным тестированием самых разных по сложности и размеру приложений для проведения и сопровождения клинических исследований. Big data, огромное количество визуализаций и представлений, хранилища данных, ETL и тому подобное. Продуктом пользуются врачи, менеджмент и люди, которые участвуют в контроле и наблюдении за исследованиями.

Для приложений, которые оказывают или могут оказать прямое влияние на жизнь и здоровье пациентов, обязателен формальный процесс приёмочного тестирования. Результаты приёмочного тестирования вместе с остальным пакетом документации предоставляются для аудита в FDA (Food and Drug Administration, США). FDA выдаёт разрешение на использование приложения в качестве инструмента контроля и проведения клинических исследований. В общей сложности в моей команде разработано, протестировано и отправлено в продакшен более тридцати приложений. В данной статье я коротко расскажу о приёмочном тестировании и развитии инструментов в одной отдельно взятой маленькой группе.

Note: я не претендую на истину в последней инстанции и прекрасно понимаю, что большая часть того, о чём я пишу, — монолог Капитана Очевидность. Но я надеюсь, что описанное окажется полезным и начальному уровню, и командам, которые сталкиваются с этим в повседневной работе, или хотя бы порадует тех, у кого процессы попроще.

Читать дальше →

+10

azyryanov13 14 янв 2020 в 08:59

V&V not for vendetta

13 мин

470

Блог компании Arcadia Тестирование IT-систем *Тестирование веб-сервисов *

Over the past six years, I have worked on developing and acceptance testing of the applications for conducting and supporting clinical trials. Applications of various sizes and complexity, big data, a huge number of visualizations and views, data warehousing, ETL, etc. The products are used by doctors, clinical trials management and people who are involved in the control and monitoring of research.

For the applications that have or can have a direct impact on the life and health of patients, a formal acceptance testing process is required. Acceptance test results along with the rest of the documentation package are submitted for audit to the FDA (Food and Drug Administration, USA). The FDA authorizes the use of the application as a tool for monitoring and conducting clinical trials. In total, my team has developed, tested and sent to the production more than thirty applications. In this article, I will briefly talk about acceptance testing and improvement of tools used for it.

Note: I do not pretend to be the ultimate truth and completely understand that most of what I write about is a Captain Obvious monologue. But I hope that the described can be useful to both the entry level and the teams that encounter this in everyday work, or at least it may make happy those who have simpler processes.

makrushin 22 янв 2020 в 09:53

Скребём Github: поиск «секретов» разработки

4 мин

4.9K

Блог компании Ingram Micro Cloud Информационная безопасность *

При разработке софтверного продукта или облачного SaaS-сервиса достаточно трудно отслеживать сторонние активности всех специалистов, вовлеченных в процесс разработки. Достаточно открыть Github, ввести в поиске «<имя_домена_компании.com> pass» и оценить выдачу. В том случае, если вдруг Github действительно показывает в своей выдаче что-то интересное, то мы рассмотрим сценарии, которые могут помочь злоумышленникам нарушить бизнес-процесс твоей компании. А если Github все же молчит, то рассмотрим альтернативные варианты атаки на цикл разработки продукта, при которых точкой входа в инфраструктуру могут стать не только разработчики, но даже Security-инженеры.

Читать дальше →

+10

yaleksar 21 апр 2020 в 11:00

(S)SDLC, или Как сделать разработку безопаснее. Часть 1

7 мин

Блог компании Ростелеком-Солар Информационная безопасность *Тестирование IT-систем *Совершенный код *Управление продуктом *

С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с организационной точки зрения можно построить процесс на основе статического анализа.

Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.

Читать дальше →

skoooorik 22 апр 2020 в 10:33

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM

5 мин

4.3K

Блог компании Ozon Tech Информационная безопасность *

5 марта 2020 года в офисе OZON прошёл очередной митап Московского отделения сообщества OWASP. Кажется, что получилось здорово, а краткий отчёт с материалами встречи был недавно опубликован на Хабре. В этом же посте представлен доклад oxdef.

Продолжая серию экспресс-докладов про проекты OWASP, сегодня мы поговорим о OWASP SAMM — одном из важнейших проектов сообщества. В начале года вышла его вторая версия — и это хороший повод рассказать о фреймворке подробнее.

Читать дальше →

yaleksar 28 мая 2020 в 09:00

(S)SDLC, или Как сделать разработку безопаснее. Часть 2

9 мин

– Наташ, а Наташ? Мы там, это… SAST внедрили.
– Мы там всё уронили, Наташ. Вообще, всё!!!
– Пайплайны стоят, очередь забита…
– Ни одной сборки не прошло! Вставай, Натаааш!

Вот так примерно можно проснуться на следующее утро после внедрения в разработку статического анализа кода. Если заранее не подготовиться к этой увлекательной процедуре.
А можно получить совсем другой, намного более позитивный и полезный для разработки и бизнеса результат. Если учесть при внедрении ряд технических нюансов SAST-анализа и вовремя подстелить соломку. Об этих нюансах сегодня и поговорим!

Читать дальше →

yaleksar 16 июн 2020 в 09:00

(S)SDLC, или Как сделать разработку безопаснее. Часть 3

5 мин

4.1K

Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные вопросы, возникающие при внедрении SAST в процесс разработки. Во второй части остановились на технических аспектах внедрения и разобрали несколько примеров выстраивания SSDLC на практике. В последней части расскажем об организационных моментах.

Для большинства компаний использование SAST — это новый процесс, а уязвимость — новая сущность. Уязвимость — это не баг и не функциональное требование, и нужно выстраивать процесс работы с новой сущностью. Нельзя забывать про историческое разделение безопасности и разработки, которое особенно обостряется, когда в процесс разработки нужно внедрять что-то новое. Масла в огонь подливают и технические особенности статического анализа, о которых мы говорили во второй части.

Читать дальше →

+17

a0kuritcyna 20 июл 2020 в 15:52

Вебинар «Secure SDLC: безопасность как фундаментальный аспект разработки»

1 мин

732

Блог компании Digital Security Информационная безопасность *Управление разработкой *

28 июля в 11:00 (МСК) приглашаем на вебинар Digital Security, где рассмотрим процесс Secure SDLC со всех сторон.

Читать дальше →

Data_center_MIRAN 2 окт 2020 в 11:06

Что такое SDLC? Этапы, методология и процессы жизненного цикла программного обеспечения

7 мин

166K

Блог компании Дата-центр «Миран» Программирование *Проектирование и рефакторинг *Управление проектами *

Перевод

Цитируя автора книги Managing Information Technology Projects Джеймса Тейлора, «жизненный цикл проекта охватывает всю деятельность проекта». Задачей же разработки ПО является выполнение требований продукта. Если вы хотите научиться создавать и выпускать высококачественное ПО, вам придется следовать плану. Со слов Тейлора, вашей целью должен стать всесторонний анализ деятельности проекта и контроля каждого этапа его разработки. Вот только с чего именно начать?

Ответить можно так: направить ваш рабочий процесс в верном направлении поможет подходящий фреймворк. В наши дни довольно сильным и популярным фреймворком является SDLC – жизненный цикл программного обеспечения.

Принципы работы SDLC и почему им пользуются

На диаграмме ниже можно ознакомиться с шестью основными этапами SDLC.

В целом, SDLC это такой замкнутый цикл, в котором каждый этап влияет на действия в последующих и дает перспективные указания на будущее. Для получения ответов на конкретные вопросы и обеспечения согласованности вашего процесса разработки все шесть этапов стараются эффективно и последовательно друг на друга влиять.

Читать дальше →

Grikdotnet 5 окт 2020 в 15:52

Процессы разработки, или сколько стоит сделать сайт

6 мин

9.5K

Управление разработкой *Управление проектами *Управление персоналом *Карьера в IT-индустрии Интервью

Однажды прораб обсуждал с потенциальным заказчиком ремонт небольшого дома. Владельца дома беспокоило, что стены накренились. Дом был сложен из кирпичей, кирпичные стены просто стояли на земле. По всему периметру дом укрепляли деревянные подпорки, но стены так и норовили обвалиться.

— Ваш дом в аварийном состоянии, требуется реконструкция, - сказал прораб. — Мы протянем силовой кабель, чтобы запитать оборудование, выроем котлован, сделаем водоотведение, зальем фундамент…— Нет, нет! — прервал его владелец дома, — мне не нужен котлован, мне нужны стены! Дом!— В таком случае, может быть, Вы подумаете о покупке модульного дома? — предложил прораб.

В прошлом месяце я общался со стартапом. У него есть работающий веб-сервис, который разные люди писали несколько лет, и теперь руководство думает что с ним делать. Основатели попросили составить список того, что я предлагаю им сделать

2 3