Процессы безопасности в релизном цикле RuStore

info@vsetut.pro

О проекте

Вернуться

03.03.2025 10:46:53 | Хабр

Хабы: Блог компании VK, Информационная безопасность

Меня зовут Дмитрий Морев, я руководитель Информационной безопасности в RuStore.
В предыдущей статье мы рассказали о роли автоматизации и управления релизами в RuStore, в этой продолжу тему в части проверок безопасности в релизном цикле.

У информационной безопасности нет собственных целей — есть только один общий путь с бизнесом и ИТ (командой разработки), поэтому команда ИБ должна ориентироваться на бизнес-цели и производственные метрики ИТ.

Одной из таких бизнес-целей является быстрая и эффективная проверка продуктовых гипотез, запуск MVP (Minimum Viable Product) и выбор правильных гипотез для дальнейшего развития бизнеса. Для выполнения этих целей ИТ-разработка должна быть быстрой, гибкой и иметь низкий Change Failure Rate.

Инфобез должен быть еще быстрее, потому что необходимо успеть разобраться в логике работы фичи, проверить код, подсветить риски безопасности и желательно снизить их в рамках установленных производственных метрик и TTM (time to market).

Итак, чтобы поспевать за ритмом разработки необходима автоматизация, максимально быстрый подход к «снаряду» (смотрим производственные таски с момента создания), короткий TTS (time to security, общее время всех проверок ИБ) с привлечением QA-команд к тестам безопасности.

В данной статье расскажу про проверку и автоматизацию согласования релизов.
Наша команда ИТ использует быстрый и эффективный подход к разработке, в котором разработчики совместно работают над кодом в одной ветке, называемой «главной» (или master в терминологии Git) — Trunk based development.
Читать дальше →

Подробнее