Цікаво, як оцінюють продуктивність AppSec інженерів? У девелоперів кількість зроблених завдань, у тестувальників кількість написаних тестів чи знайдених дефектів. А що у вас?
Checkmarx потрібен для перевірки вихідного кода на наявність відомих вразливостей.
Яких, наприклад? Як для мене, стаття була б цікавішою, якби ви навели приклади з вашої практики — як ви знайшли (або не знайшли) проблему з безпекою.
QAOps выглядит как попытка сэкономить на DevOps, заставив QA и тестировать, и автоматизировать, и настраивать пайплайны, и докер, и селениум грид, и желательно еще мелкие баги в дев коде фиксить.
Не дуже погоджуюсь з 8 пунктом, тому що все залежить від проекта. Якщо ти повертаєшся до якогось функціонала через півроку-рік, наврядчи ти зможеш згадати специфічні кейси, тому їх краще задокументувати і тоді не буде проблем при регресії)
Коментарі