Безопасность VS Программист — свежий выпуск шоу «Согласен / Не согласен»

В формате «Согласен / Не согласен» два контуровца разбирают спорные тезисы, которые связаны с их профессиями. В этом выпуске программист из продуктовой команды Илья Стрелец и тимлид из команды безопасников Сергей Автухович говорят о границах допустимого в вопросах безопасности: на что можно забить, делая новые фичи, и как подстраховать себя при использовании фреймворков.

Смотреть выпуск можно на Youtube и в VK.

Тезисы, которые обсудили:

Программисты часто забивают на безопасность

Безопасники необоснованно требовательны

Облачные технологии — зло

Каждый разработчик должен пройти обучение по информационной безопасности

Использовать фреймворки, не заглядывая в их исходный код, это окей

Если всё время думать про безопасность, никаких дедлайнов не хватит

Ниже — текстовая расшифровка выпуска для тех, кому удобнее читать, а не смотреть.

Безопасник: Да, но...

Ну, мне хочется верить. Да, программисты часто забивают на безопасность. Но когда у тебя есть условно техлид, фичалид, он не может неё прямо совсем забить. Он не будет выпускать продукт, который потенциально будет опасен. То есть какой-то базовой набор безопасности он всё равно туда предоставит. И, опять же, использование уже отточенных продуктов, которые посмотрели и прогнали через таты, через динамик, анализаторы, тестирование: и тестировщиками, и пен-тестерами.

То есть мы подразумеваем, что программисты живут в этом и об этом помнят. По крайней мере, для тех, кто не помнят, есть всякие шеймы, которые выставляют списки, чтобы было стыдно. Мне хочется так думать.

Программист: Конечно да!

Потому что чаще всего важно сделать фичу прямо сейчас. Делаешь, как получится. На самом деле просто знаешь, что в случае чего безопасники придут за тобой и скажут, что у тебя что-нибудь не так.