Как "дочкам" иностранных компаний обмениваться инцидентами с штаб-квартирами? https://t.co/chQmko0hkp
— Alexey Lukatsky (@alukatsky) July 1, 2019

Вакансия в GE
Software Project Engineer/Инженер проекта по программному обеспечению

Essential Responsibilities:
...
- Cyber security design and implementation
https://hh.ru/vacancy/32223137

непосредственно занимаюсь анализом приложений от подобных "супер" инди-команд уже более двух лет, поэтому так и отреагировал на саму новость и довольно скептически высказался про саму возможность реализации экосистемы для написания подобного ПО в условиях 9вчас. как уже сказали выше, связь действительно имеется, и как отметил @viewpnt ,  в целом коллектив играет немаловажную роль в данном процессе. это выводы из секции 'уязвимости' с _двенадцатого_ по счету анализа одного и того же приложения:

API: SQLi via XXX endpoints (Critical)
API: Database Table Downloads via XXX (Critical)
Web: UI Redressing via Class Attributes (Medium)
Web: DOMXSS via Preload Processing in XXX (High)
Web: CSS Properties Whitelist Bypass (Low)
Web: XSS via XXX Details (High)
Web: SQL Injection in XXX and XXX Selection (Critical)
Mac Add-In: Database Table Downloads via XXX (Critical)

секция с недостатками выглядит в два раза больше, тут можно писать целую книгу: про то как ошибки кочуют из точки в точку, про то как уязвимость возвращается через 5 тестов из за очередного копи-паста и недопонимая реализации ключевых функций нового члена команды в разработке и т.д. и мне на самом деле довольно сложно представить аналогичный вывод для приложения из Германии, до сих пор не довелось столкнуться с подобной ситуацией, как правило уже к третьему тесту видно команда полностью знает/осознает свои слабые стороны и самостоятельно работает над ними. и при повторном анализе это действительно бросается в глаза.
при всем при этом, мне так же ни в коем случае не хотелось бы утверждать что код из Индии становится по умолчанию хуже кода из той же Германии и к нему стоит относиться с опаской. безусловно так же имеются примеры когда локальная команда может получать n*9вчас, выдавая невероятно плохой продукт, но как правило их количество несопоставимо. я лишь сужу через призму своего опыта, и вполне допускаю что у кого он может быть совсем другой.
насколько я помню, товарищ Сергей  имеет отношение к авиации и возможно он сможет поделиться своими мыслями касаемо именно технической стороны данного обсуждения, мне кажется рассуждения о финансовой составляющей выходит за рамки данного канала.

Вообще дело не только в финансовом, вопрос в том что 90% тз не имеют требований к разработке защищенного кода. Лично я буду что-то говорить про индусов если увижу что в тз уних было sdl, а они забили на это. А вот если им никто про это не сказал то как вы думаете на основании чего они должны были привысить буджетв и сроки?

Мне приятно,  что мои мысли востребованы, но я могу только рассказать за подразделение боинга в ЦАГИ (а тут делается крыло), либо уже за сторону эксплуатации Автоники и фмц, логики, может идеологии. Если честно я долгое время думал,  что все находится никак не у индусов,  а в руках у Honeywell и Thales

Так что про качество по судить сложно,  с точки зрения пилота сама идеология боинг такова,  что компьютер идет в помощь пилоту и не вмешивается

Совсем другое дело аэробусы, мс21 и суперджеты, -там компьютер рулит всем (в normal law) ,а пилот лишь идет ему в помощь

Часто коллеги обижаются, но аэробусы это самолеты для троишников, которые плохо умеют летать

Спрашивайте,  что интересно, что знаю - расскажу

Насколько некорректно называть самолёт "самбик"? ))

https://www.youtube.com/watch?v=DG9JEe5HWdg - не Гоблин, конечно, но местами акцент при озвучке доставляет 😊

https://bis-expert.ru/blog/2560/55777 (COBIT 5 Information Security Russian)
Никто не знает где можно скачать (бесплатно)?

😮 если найдешь мне тоже плиз

The Securing Energy Infrastructure Act (SEIA) establishes a two-year pilot program to identify new classes of security vulnerabilities and to research and test solutions, including "analog and nondigital control systems." The U.S. Department of Energy would be required to report back to Congress on its findings

Нет "цифры" - нет проблем)

С одной стороны, может и сработать, но с другой стороны отбросит прогресс в этой области, и даст другим странам преимущество.

Смотря что считать прогрессом в электроэнергетике

Сейчас например на международном уровне начали обсуждать применение sdn на подстанциях и cloud based safety.