OP, tundub, et olete peamiselt arendaja, vaadates teie kaastöid. Mida saab arendaja turvalisuse suurendamiseks teha?
Esimesel kuul:
- 2 tundi: proovige versiooniga kokku puutuda mõned välised sõltuvused / komponendid / teegid ja proovige rakenduse uuesti ülesehitamiseks. Kui ebaõnnestute, dokumenteerige vastuolud.
- 2 tundi: tehke kõik, mis on vajalik teie enda muudatuste edastamiseks läbi CI / CD, testimise,
master
haru kaudu ja tootmisse. Proovige muud arengut tagasi lükata, kui neid on, kuid pöörake sel juhul erilist tähelepanu sellele, et jätaksite suusarajad, kus olete tegelikult midagi kasulikku teinud (nt kirjutanud mõned PR-id).
Korrake iga kuu, kuid korrigeerige nende kahe vahelist eraldusjoont. (Võimalik, et lõplik jagamine on pigem 10 minutit versus 3 tundi 50 minutit.)
Nii saate parandada halvima vektori - et ühel populaarsel komponendil / teegil on mitu kuud avaldatud haavatavus ( CVE). Bottide sülemid hakkavad kogu haavatavat juurutamist kogu Internetti skannima. Kui täiendate lihtsalt kolmandate osapoolte komponente, isegi ainult (informeeritud?) Oletusi tehes, on korralik võimalus, et te ei saa kunagi ohvriks ega pea kunagi vaja tegelema ebameeldivate olukordadega.
See on arendajatele üsna tühine, kuid enamikus ettevõtetes väldivad arendajad sellist ebahuvitavat hooldust. See muutub tüüpiliste turvaosakondade jaoks suureks probleemiks (kuna nad ei kompileeri rakendusi uuesti). Suured jõupingutused "logide analüüsimiseks" või "WAF-ide rakendamiseks" või "haavatavuse skannimiseks" on mõeldud peamiselt selle tühimiku katmiseks kõigi võimalike nurkade alt.
Teie küsimusest näib, et te küsite, kuidas oma õppimist suunata. Tahaksin selle oletuse vaidlustada siin ja praegu. Kes eraldas teile 4 tundi kuus, katkestas juba oma rakenduse teie eneseharimisest kasu saamise. Neist vastutustundetu! Sellele projektile pühendatud sisu õppimiseks rakendage see, seejärel õppige oma vigu ja korrake ... Seda ei saa teha iga kuu nelja tunni kaupa. Ärge seda "parandage", sest see polnud teie otsus! Selle projekti ajal tehke asju, mida teate juba hästi.
See on algaja. See, mida proovite vabal ajal õppida ja rakendada, on teie eelistus ja teie enda asi. Ma arvan, et see on selle saidi jaoks liiga lai (kuna võib juhtuda, et otsustate, et teid ei huvita turvalisus, mis on täiesti hea), kuid teised andsid teile niikuinii hulgaliselt müügivihjeid. Kasulikke asju otsige ka teiste projektide käigus. Mõni esimene või teine mahub selle nelja tunni sisse ja aitab projekti seisu parandada.