В последние несколько лет безопасность разрабатываемого кода становится все важнее. Со страниц прессы не сходят сообщения об очередном взломе, утечке, воровстве данных или прерывании сервиса из за того что злоумышленники нашли уязвимости в том или ином широко распространённом программном обеспечении. Гранды ИТ вроде Cisco, EMC, Microsoft, Red Hat уже много лет применяют методы Secure Development Lifecycle (SDLC) для снижения количества уязвимостей и дефектов в коде. Мы небольшая команда из 40 разработчиков которая создает бизнес приложения для энтерпрайз заказчиков заботящихся о безопасности. Мы слыхали, что SDLC требует очень много процедур и еще больше труда. Как сделать так, чтобы кафтан снятый с больших парней подошел нам? В этом выступлении я расскажу как мы применяли SDLC как адаптировали его к Agile, какие шишки набили, какие части методологии нам удалось упростить. Так же поговорим о том как выбирать инструменты упрощающие внедрение и автоматическое использование SDLC. Обсудим неочевидные вещи такие как насколько много тестов надо делать, как часто, как воспитывать своих или где брать сотрудников способных возглавить и поддерживать обеспечение безопасности продуктов с помощью SDLC?