Что программисту нужно знать об ИБ и кто этим занимается в продакшене?

Только учусь программированию,и не знаю,стоит ли что-то читать по ИБ.Что программисту вообще нужно знать об этой области?Ну про переполнение кучи и стека знаю,это что касается именно программистской обязанности не допускать подобных ошибок.Тут же может быть тысячи угроз.Какое нибудь приложение работающее с сетью,что-то передающее и принимающее.Тут помимо ошибок локальных,могут быть еще и сетевые и базы данных.Обязан ли программист писать безопасный код?Ведь одни функции в какой нибудь библиотеке могут быть крайне эффективными например,но в то же время с помощью них можно будет провести какую нибудь атаку.А чтобы знать это,нужно быть не плохим безопасником.Или все куда проще?Кто вообще занимается построением архитектуры приложения с точки зрения безопасности?
  • Вопрос задан
  • 1387 просмотров
Решения вопроса 1
Кто вообще занимается построением архитектуры приложения с точки зрения безопасности?

1.Главный программист инженер!
2.Программист!
3.QA тестировщик !
4.Пользователь на бета или альфатестировании!
5.Хакеры если не повезло! (Они тоже вносят лепту в защиту системы, тобиш один раз взломавший вас хакер заставит вас изучить вашу систему и улучшить параметры защиты)
Каждый из пунктов предельно важен!
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
@amambaru
А ниче что областей программирования мильоны?
А ниче что способов организации работ и видов/размер контор мильоны?
Где-то (крупные банки) - есть отдельные службы.
Где-то - ты все сам.
Где-то вообще забивают на это.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Программисту который не является спецом по ИБ не обязательно вообще знать что-то про ИБ.
Разве что для развития собственного кругозора.

Задача программиста - писать код соответствующий стандартам, по ТЗ.
А думать о безопасности будут другие, и когда придумают включат это в ТЗ.

Но тут есть такой момент - программист понятие растяжимое.
Где-то программист пишет код и все.
А в некоторых случаях программист пишет код, разрабатывает архитектуру приложения, прорабатывает вопросы безопасности, чинит компьютеры, заправляет принтеры, и подметает двор..
Тут конечно приходится немного разбираться в ИБ, и знать с какой стороны метлу держать надо.
Ответ написан
@RxR
Большинство угроз, таких как переполнение стека или кучи в современных ЯП выбрасывают исключения. Защиту от DDOS могут взять на себя хостеры или можно юзать готовые решения. Многие виды аттак и уязвимостей, которые можно было осуществить/эксплуатировать 10 лет назад, сегодня не сработают - используйте все самое современное. ИБ на поверхностном уровне необходиомо знать, иначе ваши приложения будут уязвимы для sqli, csrf, xss, ddos атак и прочего, хотя разрешить подобные проблемы безопасности сможет даже школьник.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
В продакшене этим - внезапно - занимаются специалисты по ИБ :) Соответственно программисту об ИБ нужно знать ровно столько, сколько написано в корпоративной политике безопасности, если она есть или стольо сколько может рассказать местный спец по ИБ (если отдельного нет - то обычно админ). Если нет ни того, ни другого ни третьего - ну тогда значит всем просто по...й.
Ответ написан
Storchak
@Storchak
специалист по защите информации
Почитай про написание безопасного кода. Для каждого языка есть свои стандарты (пример для С++).
Также рекомендую почитать про распространенные слабости безопасности в приложениях (Common Weakness Enumeration, CWE).
Ну и напоследок ознакомься с жизненным циклом разработки безопасных программ (Secure Software Development LifeCycle, SSDLC): Рекомендации в области стандартизации банка России РС БР ИББС-2.6-2014, MS SDL, OWASP Secure SDLC Cheat Sheet.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы