В начале была проблема. В международной корпорации, где вместе с командой продуктовой безопасности я строил процессы разработки, была нехватка инженеров Application Security. На несколько тысяч разработчиков оказалось всего несколько AppSec-специалистов, и с ростом скорости производства становилось сложнее исправлять обнаруженные дефекты.
В тот период появилась очевидная идея: помимо внедрения автоматизации нужно разрабатывать и внедрять программу подготовки Security Champions – разработчиков внутри компании, которые берут на себя ответственность за продвижение и укрепление культуры безопасности в своей команде. К тому же, мой коллега уже проходил этот путь в своей компании и подготовил отличный плейбук для OWASP.
Мы разработали внутренний курс, который на примере наших процессов и дефектов рассказывал разработчику и Engineering Manager’у, как правильно работать с обнаруженными проблемами. Сначала мы провели обучение в российском офисе, и потом поехали в Калькуту для того, чтобы обучить наших индийских коллег.
Затем случилось озарение: программа работает и влияет на показатели в разработке (значительно ускоряет процесс обработки дефектов), почему бы не поделиться этим опытом с коллегами? Мы организовали и провели первый двухдневный тренинг для Security Champion на крупной конференции Hack In The Box в Амстердаме. Это был концентрат из практических кейсов использования инструментов поиска дефектов на разных стадиях производства, знакомство с лучшими практиками и определение контекста для их применения, и много практической работы. В этот момент прилетел следующий инстайт.
Безопасности приложений хотят учиться не только разработчики, но и специалисты по информационной безопасности, которые по разным причинам переквалифицируются из смежных направлений ИБ. Тогда этот тренинг стал обрастать контентом, который охватывает два мира: разработка и ИБ. Получился курс размером с полный учебный семестр.
Курс стал частью программы подготовки специалистов в НИЯУ МИФИ, затем частью программы подготовки магистров в МГТУ им. Баумана. Основные разделы курса также вошли в программы дополнительного образования Skillfactory и других коммерческих школ.
Сейчас тот момент, когда программа Security Champion должна обновиться с учетом трендов в области поиска уязвимостей и внедрения ИИ для автоматизации. А еще должна превратиться в интенсив.
И она обновилась и превратилась. Будем интенсивно изучать AppSec, строить DevSecOps и составлять правильные запросы для ИИ.
Теперь о процессе подготовки курса в цифрах:
- 24 недели от идеи до результата
- 314 слайдов и 12 студийных сессий для их записи
- 8 участников команды, которые отвечали за верстку и дизайн, запись и производство видео, составление учебной программы и клиентский опыт, разработку лендига, маркетинг и координацию всего проекта.
- курс лег в основу двух программ подготовки магистров в области ИБ. А значит, свободно доступен для студентов и выпускников НИЯУ МИФИ и МГТУ им Баумана.
