Lavoro come architetto di applicazioni presso società più grandi che costruiscono applicazioni web che utilizzano entrambe le tecnologie .Net e Java. Questi sono venduti e accessibili da altre aziende (non i consumatori). Abbiamo diversi team di sviluppo di applicazioni che lavorano su questi, tra cui vari livelli di abilità di dipendenti, appaltatori / consulenti e team in outsourcing.
Abbiamo un gruppo per la sicurezza delle informazioni maturo, operazioni di data center, networking. ecc. Abbiamo anche corsi obbligatori sulla sicurezza delle applicazioni, scansioni del codice sorgente con software di terze parti e guida tramite politiche e procedure di sicurezza.
Sto cercando di difendere un team più piccolo (3-4 persone) che potrebbe concentrarsi sull'implementazione dettagliata a livello di codice e sugli elementi di correzione da audit e scansioni. Queste persone capirebbero come il OWASP Top 10 si presenta come nel codice e sulla rete, e non visto come una checklist di gestione.
Domanda: sto cercando informazioni sul giusto mix di abilità nella costruzione di questo team, preferendo un caso di studio documentato, ma anche le opinioni hanno valore. Voglio evitare una lista generica come: sviluppatore Java, sviluppatore .Net, tester, DBA, ecc.
Inoltre, cercando di non rendere questa domanda soggettiva e aperta, apprezzeremmo qualsiasi modifica consigliata.