tgoop.com/study_security/130
Last Update:
Начнем с АппСек-ов
Я тут недавно зацепился в чате с одним крутым безопасником на тему того, как вообще должен выглядеть Application Security инженер и кем он является на самом деле.
Его позиция заключалась в том, что АппСек должен брать на себя всё, что касается безопасности кода, компонентов и приложений, начиная от ревью фичей, заканчивая несложным пентестом. В общем, покрывать почти весь Secure SDLC.
Я же стоял на том, что на рынке сейчас подавляющее большинство ребят, которые умеют только уязвимости от SAST-ов триажить, антипаттерны в коде вылавливать и с безопасностью компонентов работать. И если брать шире, то начнет страдать качество и глубина погружения.
Ах да, и в его, и в моем случае им надо еще успевать общаться с разработчиками и пояснять им за безопасность.
Победителя, как понимаете, тут нет. Но на рынке сейчас правда существует две концепции АппСек-ов. Но я все еще остаюсь приверженцем подхода, в котором надо делать хоть и узко, но качественно. Либо учиться всему и сразу, но садиться за безопасность какого-нибудь одного продукта. Брать денег при этом надо сильно больше, как по мне.
Вот кстати можете еще глянуть доклад на эту тему – ссылка. Тут круто то, что девушка затронула вопрос того, что AppSec – это не только про мобилку и веб. Это еще и про такие специфики, как IoT, операционки и всё то, что могут производить на свет инженеры и разработчики.
В общем, смотрим и читаем разбор того самого направления