Безопасность
Исторический
экскурс
Осень
2018
- 1 место в #shame листе
- 64 открытых тикета
Подкоманда ПП
Направление
Безопасность
Декабрь 2018
Чего хотим?
- Закрыть существующие уязвимости
- Свести вероятность возникновения новых уязвимостей к минимуму
Свести вероятность к минимуму
- Защищаться общими решениями
- Гигиенический минимум
- Портал/Цербер и другие общие сервисы Контура
- Снизить человеческий фактор
- Достаточно — обезопаситься так, чтобы вмешательство человека не требовалось
- Необходимо — не забывать учитывать нюансы при разработке
-
Повышать компетенции внутри команды
- «Думать как хакер»
Как не забывать учитывать нюансы при разработке?
Идеальная система (ТРИЗ)
- Не достижима
- КПД 100%
- Ничего нельзя улучшить, только — ухудшить
Мы вынуждены что-то внедрять
в идеальную систему, снижая её КПД, чтобы что-то получить взамен
Что-то другое
N%
КПД
≥
ЦЕННОСТЬ
Дисфункция организаций
Как не забывать учитывать нюансы при разработке?
С минимальными затратами КПД
анархия
гиперформализация
топ1
в #shame
КПД полностью сжирается поддержкой
Вообще-то, ситуации, в которых можно допустить ошибку много и они неоднородны
Для каждого человека точка баланса будет разной
Эффективнее не фиксировать для всех один набор жёстких правил
Стратегия
Любое правило может быть нарушено, но не должно быть проигнорировано
Реализация
- Чеклисты в трелло
- Ретроспектива внутри команд
- ...
Как не забывать учитывать нюансы при разработке?
- Мы зададим какое-то первое приближение того, что можно сделать
- Подпродукты должны сами договариваться, поддерживать и модифицировать процессы
У нас есть свобода — нарушать правило или нет, но есть и ответственность за нарушение
Если ответственностью пренебрегать, свободы не будет, гайки будут закручиваться, а КПД падать
Итого
- Направление Безопасность сворачивается
- Известные уязвимости поправлены
- Гигиенический минимум реализован
- Осталось пообщаться с вами и договориться о том как будем поддерживать гигиену :)
security_end
By koteek
security_end
- 200