[Из песочницы] QIWI Security Development Lifecycle
В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…
Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.
Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.
С чего начать? Наш план был прост:
Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
Прикрутить модные сканеры безопасности.
Отревьюить пару десятков приложений.
Откинуться в кресле, наблюдая за тем, как это все само работает.
Читать дальше →Источник: Хабрахабр
