Конкретно на этом проекте Security Champion'ы определены Team Lead'ами команд backend, frontend и mobile разработки. Предположительно, по принципу "кому это было бы интересно?", но по итогу каждый чемпион - это senior в своей области разработки. Что кстати помогло при разборе специфичных потенциальных уязвимостей и дальнейшему безболезненному исправлению ПО.
Обучение происходило и происходит на этапе №2:
2 шаг. Обучение
А "развитие направления Security Champion в СИГМЕ" заключается, в первую очередь, в повышении интереса других сотрудников на других проектах, а также в поддержании и актуализации знаний текущих чемпионов.
Нет, это не мечты, а один из реальных и удачных примеров внедрения безопасной разработки на проекте.
В компании за основу был взят классический SSDLC, который, при необходимости, уточняется для отдельных проектов.
Также, как один из представителей команды безопасности могу сказать, что мы стараемся найти баланс между бизнесом и безопасностью (но, конечно же, в сторону реальной безопасности). Мы не выступаем в качестве регулятора, а скорее помогаем разработке выпускать качественные продукты.
Конкретно на этом проекте Security Champion'ы определены Team Lead'ами команд backend, frontend и mobile разработки. Предположительно, по принципу "кому это было бы интересно?", но по итогу каждый чемпион - это senior в своей области разработки. Что кстати помогло при разборе специфичных потенциальных уязвимостей и дальнейшему безболезненному исправлению ПО.
Обучение происходило и происходит на этапе №2:
А "развитие направления Security Champion в СИГМЕ" заключается, в первую очередь, в повышении интереса других сотрудников на других проектах, а также в поддержании и актуализации знаний текущих чемпионов.
Нет, это не мечты, а один из реальных и удачных примеров внедрения безопасной разработки на проекте.
В компании за основу был взят классический SSDLC, который, при необходимости, уточняется для отдельных проектов.
Также, как один из представителей команды безопасности могу сказать, что мы стараемся найти баланс между бизнесом и безопасностью (но, конечно же, в сторону реальной безопасности). Мы не выступаем в качестве регулятора, а скорее помогаем разработке выпускать качественные продукты.
Подкорректируйте, пожалуйста, ссылку на ютабчик