При построении процессов безопасной разработки важно взрастить культуру ответственного отношения разработчиков к безопасности.
При этом безопасность не должна быть слишком "справа" в цепочке процессов, а все проверки должны быть интегрированы на всех стадиях создания ПО начиная с проектирования решений. Такой подход дает больше гибкости и плавности в контроле выпускаемых продуктов.
На примере проверки Open Source компонентов и системы композиционного анализа CodeScoring рассмотрим вопросы правильной инвентаризации стороннего кода и построения эффективных политик безопасной разработки так, чтобы не "кошмарить" разработчиков и не заваливать ИБ излишней работой.
При этом безопасность не должна быть слишком "справа" в цепочке процессов, а все проверки должны быть интегрированы на всех стадиях создания ПО начиная с проектирования решений. Такой подход дает больше гибкости и плавности в контроле выпускаемых продуктов.
На примере проверки Open Source компонентов и системы композиционного анализа CodeScoring рассмотрим вопросы правильной инвентаризации стороннего кода и построения эффективных политик безопасной разработки так, чтобы не "кошмарить" разработчиков и не заваливать ИБ излишней работой.