Безопасная разработка: какую часть Sec занимает в DevSecOps

Всем привет! На Хабре вышла новая статья по теме безопасной разработки и DevSecOps: "Безопасная разработка: какую часть Sec занимает в DevSecOps". Сохраню тут копию.

Безопасная разработка: как жить в цифре, писать много кода и не стать жертвой хакеров

Хочу поделиться ссылкой на прошедшую 2 сентября 2021 года встречу пресс-клуба Positive Tech Press Club, на которых обсудили эволюцию угроз и технологий информационной безопасности. На встрече была затронута актуальная тема DevSecOps или безопасной разработки.

Участники пресс-клуба рассказали о трендовых угрозах и примерах кибератак, виной которым послужили бреши в исходном коде ПО. Была дискуссия о том, нужна ли компаниям безопасная разработка, как эксперты оценивают степень проникновения этого подхода в российский бизнес и какие результаты уже достигнуты.

Отдельной темой беседы стало обсуждение элементов DevSecOps и SSDL1: не только в плане технологий, но и культуры разработки, подходов и принципов. Мероприятие прошло в формате круглого стола и собрало участников, которые смогли всесторонне осветить тему безопасной разработки – с точки зрения вендоров, компаний, имеющих собственные большие команды разработки, системных интеграторов и независимых экспертов.

Содержание коротких технических статей

Инженерам иногда приходится писать инструкции, короткие технические статьи, готовить рассказы для презентаций и воркшопов, с объяснением того или иного рекомендуемого решения. При подготовке таких рассказов и статей сразу возникают вопросы: о чем писать, сколько писать, что рассказать, а что опустить.

У профессиональных писателей и редакторов есть шаблоны и заготовки текстов на различные темы. Попробуем собрать здесь ссылки на лучшие рекомендации в помощь тем, кто пишет технические статьи или рассказы.

Разбор полётов

Как я говорил ранее, мы с коллегами, DevOps-инженерами, создали общедоступный репозиторий dohq-doc-templates, где лежат шаблоны инженерной документации. Они нужны для упрощения сопровождения различных регламентных работ. Шаблоны были созданы в процессе повседневной работы наших инженеров и автоматизаторов. Они могут пригодиться и вашим инженерам, для разработки регламентов и внутренней технической документации.

Сегодня расскажу про то, как мы ведём разбор полётов по техническим происшествиям.

Анализ и планирование работ по долгосрочным задачам

В нашем общедоступном репозитории dohq-doc-templates лежат шаблоны инженерной документации. Они нужны для упрощения сопровождения различных регламентных работ. Эти шаблоны были созданы в процессе повседневной работы DevOps-инженеров и автоматизаторов. Они могут пригодиться и вашим инженерам, для разработки регламентов и внутренней технической документации.

Сегодня поговорим про анализ и планирование работ по долгосрочным задачам. 

Технологическая карта производственного процесса

Продолжаю выкладывать в общедоступный репозиторий dohq-doc-templates шаблоны инженерной документации. Она нужна для упрощения и сопровождения различных регламентных работ. Шаблоны были созданы в процессе повседневной работы DevOps-инженеров и автоматизаторов. Они могут пригодиться и вашим инженерам, для разработки регламентов и внутренней технической документации.

Сегодня познакомлю вас с понятием "технологической карты производственного процесса".

Карта компетенций инженеров DevOps

Мы с коллегами из PT решили создать общедоступный репозиторий dohq-doc-templates, куда будем выкладывать шаблоны инженерной документации для упрощения и сопровождения различных регламентных работ. Они были созданы в процессе повседневной работы DevOps-инженеров и автоматизаторов. Шаблоны могут пригодиться и вашим инженерам, для разработки регламентов и внутренней технической документации.

Сегодня познакомлю вас с понятием "карты компетенций" инженеров DevOps, что это такое и как ей пользоваться.

DevSecOps. PT Application Inspector в разработке ПО: блокировка релиза

 

Вышла новая обзорная статья на Хабре по одному из направлений в DevSecOps: про то, как разработчики используют анализатор кода PT Application Inspector в релизном цикле разработки своих продуктов.

Оригинал статьи по ссылке, копия под катом.

Как работает команда DevOps в Positive Technologies

Всем привет! Меня зовут Тимур Гильмуллин, я работаю в отделе технологий и процессов разработки Positive Technologies. Внутри компании нас неформально называют DevOps-отделом. Мы занимаемся автоматизацией внутренних процессов и помогаем разработчикам и тестировщикам. В прошлой статье я уже писал, как выстроен карьерный рост у инженеров, а сегодня хочу рассказать про «внутреннюю кухню» — о том, что делают DevOps-инженеры у нас в компании. Вы узнаете, что лежит в основе идей DevOps, какие плюсы дает бизнесу работа по принципам DevOps и как при этом изменяется процесс разработки.