🤝У ИБ есть своя сезонность. Когда работаешь на стороне заказчика или в крупном вендоре - это может не ощущаться. Но в консалтинге в силу привязки проектов к временам года последний квартал - это часто половина годовой выручки или больше. Вот и получается как в "Бриллиантовой руке":

- Неужели ты ничего не помнишь?
- Почему? Помню! Поскользнулся, потерял сознание, очнулся, гипс...

С 30 октября прошло больше 3х месяцев. Год закрыт. Месячный отпуск отгулян. Пора возвращаться в эфир на новом витке восходящей спирали. Продолжим развитие Wine в ключе комплексной ИБ и расширения горизонтов.

Цель: минимум 2 поста в неделю, а там видно будет. 🤝

P.S. Этот пост не считается. 😁

#Рефлексия #Оргвопрос

Не о PHD, а об уровне развития DevOps/DevSecOps в этой стране🕵‍♂️

Пока значительная часть ИБв и всех им сочувствующих находится на PHD, мы предлагаем вашему вниманию опрос: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF ‼️

🤝 Партнер кооператива РАД КОП — компания Экспресс 42 — проводит ежегодное исследование DevOps в России. Когда-то этот канал начинался как производная от DevSecOps и личной потребности автора разобраться в теме. Сегодня, когда мы называемся Security Wine и исследуем вопросы ИБ в широком смысле, мы сохраняем интерес к альма-матер.

На наш взгляд, состояние DevOps — хороший индикатор развития отрасли и её зрелости. Через эволюцию этих практик и инструментов можно смотреть на актуальные тренды в ИТ: от состояния внедрения ИИ до возникновения принципиально новых технологий и практик ИБ, влияющих на каждого из нас.

🤝 В прилагаемом опросе примут участие более 4000 представителей индустрии. Результаты опроса будут опубликованы в открытом доступе и помогут нам всем лучше понять Точку А: где мы находимся сейчас как отрасль, кто какие технологии использует, кто куда смотрит и т.д. и т.п. Это позволит каждому выработать свою личную или командную Точку Б: куда нам и нашим командам стоит смотреть и идти, чтобы соответствовать «духу времени» (или не соответствовать — возможно кто-то из нас занял отличную эволюционную нишу, которой «на их век хватит»! ❤️).

⏳ Опрос займет около 20 минут. Еще раз дублируем ссылку для прохождения: https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF .

P.S. Среди участников опроса состоится розыгрыш мерча и билетов на Highload++ и DevOpsConf.

P.P.S. Если есть мысли или комментарии к опросу — делитесь мудротой в комментариях, этот канал — место для дискуссий 💻

Кадры решают все 🤝

Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок. 🪨

‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной.

⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора:

А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны ❤️);

Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы ⏳);

В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔).

🖋Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место.

Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации. 🌄

А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой 🤝

P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).

#Люди #HR #КадрыРешаютВсе

Контроль зависимостей в разработке от Cicada8 (решение Dependency Firewall🔗)

Современная ИТка очень динамична и, если ей не управлять - хаотична. Одна из типичных проблем: артефакты с уязвимостями, кривыми лицензиями или встроенными секретами попадают в пайплайн, а дальше выкатываются в прод и привет: аудит, откат, продакшн-инцидент. А хочется же #безвотэтоговсего 💻

🖋 На рынке есть много решений, которые ищут уязвимости уже после загрузки. Но есть и альтернативные подходы на базе нашего любимого shift left. Вот и CICADA8 заявляет о запуске решения Dependency Firewall, которое действует как фильтр на входе.

Что делает изделие, согласно заявке вендора:
⚪перехватывает запросы к внешним реестрам (npm, PyPI, dockerhub и т.д.);
⚪ анализирует артефакты "на лету" (CVE, лицензии, секреты, политика);
⚪ если что-то не ок — может блокировать, а не просто "помечать";
⚪ умеет собирать SBOM и интегрироваться с всяческими VM-платформы или SIEM;
⚪ может работать как HTTPS-прокси или кастомный реестр — без переписывания пайплайнов.

Заявляемые фичи :
⚪поддержка 12+ языков + контейнеры + бинарники;
⚪фильтрация по возрасту артефактов, типам лицензий, уровню угроз по CVSS/EPSS;
⚪интеграции с Kaspersky OSS, БДУ ФСТЭК, EPSS, кастомными фидами;
⚪реальное время, адаптивные политики, удобный UI.

📄 В общем: если хочется ловить нехорошие зависимости до того, как они уплывут в прод, — решение предлагает вариант отработать превентивно, а не "по следам". Все в лучших традициях supply chain security & compliance.

🎙 Товарищи организуют прямую трансляцию 8 июля в 12:00 по Мск. Залетайте, кому нннадо! 🤝

А как решаете подобные задачи вы? Какие решения и подходы используете и почему? И может быть кто-то уже работал с Cicada DF, и ему (ей) есть что сказать? 🤝