Secure SDLC: минимальный чеклист

До написания кода

Определить критичные активы и угрозы.

Зафиксировать security-требования в user stories.

Разметить границы доверия (trust boundaries).

Во время разработки

Валидация входа по allowlist.

Экранирование/параметризация запросов.

Проверка прав доступа на сервере (не только в UI).

Ограничение частоты запросов и защита от brute force.

Перед релизом

SAST/Dependency scan/Secrets scan.

Минимум ручного пентест-чека критичных потоков.

Проверка CSP, CORS, cookie flags (HttpOnly, Secure, SameSite).

В эксплуатации

Мониторинг инцидентов и алерты.

План реагирования и postmortem.

Регулярные обновления зависимостей.

Ротация ключей и токенов.

Цель: сделать безопасность свойством процесса, а не разовой задачей перед релизом.