Я знаю, что этот вопрос, вероятно, здесь не обсуждается. но я не знаю, какой сайт переполнения использовать. У нас есть веб-сервер, который мы используем для доступа клиентов к нашим вещам. Наша команда ИТ / безопасности считает, что мой разработчик должен устанавливать исправления для системы по соображениям безопасности / эксплуатации. Я не верю, что веб-разработчик сможет эффективно поддерживать исправления. Что вы думаете о следующем?
Должны ли мои разработчики вносить исправления в ОС в целях безопасности?
Должны ли мои разработчики нести ответственность за сканирование на наличие уязвимостей?
Должна ли команда IT / Sec выполнять сканирование и уведомлять разработчиков о том, что необходимы исправления?
Как вы распределяете обязанности в своей среде?
Должны ли мои разработчики вносить исправления в ОС в целях безопасности?
Нет. Это следует передать системным администраторам. Разделение проблем.
Должна ли команда IT / Sec выполнять сканирование и уведомлять разработчиков о том, что необходимы исправления?
Да, но только в качестве оценки риска. Что они должны найти, так это то, что никаких исправлений не требуется, потому что они устанавливаются заранее в течение необходимого периода времени. Ждать, пока служба безопасности заставит вас исправить патч, - вот как быть Equifax.