Развитие практик стандартизации Secure SDL: от международных лучших практик к «импортозамещенным» требованиям

Практики DevSecOps и AppSec стремительно развиваются, и это порождает объективную потребность в стандартизации. Но есть проблема — различные отраслевые организации, государственные регуляторы, комитеты по стандартизации, неформальные сообщества видят только какую-то часть «слона». Вдобавок существует страновая специфика, а также интересы вендоров и коммерческих организаций в создании собственных практик.

Проходят годы, и хотя стандартов становится больше, проблемы информационной безопасности и оцениваемые риски лишь возрастают. И возникает закономерный вопрос — не пора ли нам стандартизовать стандартизацию? И что можно использовать из существующих практик, с учетом специфики отечественного законодательства, чтобы сфокусироваться на продуктивной работе и не запутаться в предлагаемом многообразии вариантов?