Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
По поводу веб студий пара мыслей. ИМХО надеяться на профессионализм и порядочность разработчика в любом случае не стОит, он заинтересован, по сути, только в создании функционала и дизайна. Выбирать разработчика по уровню CMMI или по наличию в штате специалиста по механизмам защиты - задча утопическая, это все равно не гарантирует безопасность продукта. Гарантией является только договор. В ТЗ/договоре нужно предусмотреть во-первых механизмы защиты, которые должны быть реализованы в продукте, а во-вторых условие премки продукта по факту тестирования этих механизмов третьей стороной или своими силами (как, кстати и говорят всеразличные ИСО и КОБИТы). Если в штате нет своего спеца по безопасности веб-приложений, можно либо единственный раз привлечь независимого консалтера для разработки стандарта безопасности веб-приложений (заодно и compliance testing тем же MP можно будет унифицировать), либо, как паллиатив, использовать статистику уязвимостей веб-приложений. В общем спасение утопающих - дело рук самих утопающих.
По поводу веб студий пара мыслей. ИМХО надеяться на профессионализм и порядочность разработчика в любом случае не стОит, он заинтересован, по сути, только в создании функционала и дизайна. Выбирать разработчика по уровню CMMI или по наличию в штате специалиста по механизмам защиты - задча утопическая, это все равно не гарантирует безопасность продукта. Гарантией является только договор. В ТЗ/договоре нужно предусмотреть во-первых механизмы защиты, которые должны быть реализованы в продукте, а во-вторых условие премки продукта по факту тестирования этих механизмов третьей стороной или своими силами (как, кстати и говорят всеразличные ИСО и КОБИТы). Если в штате нет своего спеца по безопасности веб-приложений, можно либо единственный раз привлечь независимого консалтера для разработки стандарта безопасности веб-приложений (заодно и compliance testing тем же MP можно будет унифицировать), либо, как паллиатив, использовать статистику уязвимостей веб-приложений. В общем спасение утопающих - дело рук самих утопающих.
ОтветитьУдалитьНе стоит сбрасывать со счетов репутационные фильтры. Разрушители мифов. Миф №39.
ОтветитьУдалить