Безопасность

Исторический

экскурс

Осень

2018

• 1 место в #shame листе
• 64 открытых тикета

Подкоманда ПП

Направление

Безопасность

Декабрь 2018

Чего хотим?

• Закрыть существующие уязвимости
• Свести вероятность возникновения новых уязвимостей к минимуму

Свести вероятность к минимуму

• Защищаться общими решениями
  • Гигиенический минимум
  • Портал/Цербер и другие общие сервисы Контура
• Снизить человеческий фактор
  • Достаточно — обезопаситься так, чтобы вмешательство человека не требовалось
  • Необходимо — не забывать учитывать нюансы при разработке
• Повышать компетенции внутри команды
  • «Думать как хакер»

Как не забывать учитывать нюансы при разработке?

Идеальная система (ТРИЗ)

• Не достижима
• КПД 100%
• Ничего нельзя улучшить, только — ухудшить

Мы вынуждены что-то внедрять

в идеальную систему, снижая её КПД, чтобы что-то получить взамен

Что-то другое

N%

КПД

≥

ЦЕННОСТЬ

Дисфункция организаций

Как не забывать учитывать нюансы при разработке?

С минимальными затратами КПД

анархия

гиперформализация

топ1

в #shame

КПД полностью сжирается поддержкой

Вообще-то, ситуации, в которых можно допустить ошибку много и они неоднородны

Для каждого человека точка баланса будет разной

Эффективнее не фиксировать для всех один набор жёстких правил

Стратегия

Любое правило может быть нарушено, но не должно быть проигнорировано

Реализация

• Чеклисты в трелло
• Ретроспектива внутри команд
• ...

Как не забывать учитывать нюансы при разработке?

• Мы зададим какое-то первое приближение того, что можно сделать
• Подпродукты должны сами договариваться, поддерживать и модифицировать процессы

У нас есть свобода — нарушать правило или нет, но есть и ответственность за нарушение

Если ответственностью пренебрегать, свободы не будет, гайки будут закручиваться, а КПД падать

Итого

• Направление Безопасность сворачивается
• Известные уязвимости поправлены
• Гигиенический минимум реализован
   
• Осталось пообщаться с вами и договориться о том как будем поддерживать гигиену :)