Задания

Создание задания

Чтобы создать новое задание, перейдите в Задания в боковой панели администратора и нажмите «Новое задание». Следуйте этим шагам:

1. Область контента

Выберите Практика (задания по ревью кода), Обучение (интерактивные сценарии атак) или Custom (пользовательский курс, который Вы собрали). Если Вы выберете Custom, но Ваша организация ещё не собрала ни одного пользовательского курса, форма показывает встроенное предупреждение, и пикер остаётся пустым, пока не существует хотя бы один курс.

2. Цель

Выберите, что назначить. Иерархия цели зависит от области контента:

• Практика: Категория → Модуль → Тема (например, «OWASP Web Top 10 > A03 Injection > SQL Injection»). Выбор только категории создаёт задание на уровне категории, которое автоматически покрывает каждую тему под ней.
• Обучение: Курс → Сценарий. Выбор только курса покрывает каждый сценарий под ним.
• Custom: Выберите один из пользовательских курсов Вашей организации. Элементы курса определяют, какие темы практики и сценарии обучения отслеживаются для завершения. См. Пользовательские курсы.

3. Назначено

Выберите, кто получает задание: Отдельный пользователь, Команда или Вся организация. Под пикером форма показывает живой предпросмотр («Назначит N заданий {Назначенному}»), чтобы Вы могли проверить область перед отправкой.

4. Срок

Установите срок выполнения. Пользователи увидят просроченные задания, выделенные на их панели.

5. Обязательное

Пометьте задание как обязательное или опциональное. Флаг включён по умолчанию — обязательные задания появляются заметно в учебной очереди пользователя и вносят вклад в отчёты соответствия; опциональные задания отслеживаются, но не блокируют метрики соответствия.

6. Заметка

Добавьте опциональное описание или контекст для задания (например, «Завершить до Q2 аудита безопасности»). Заметка отображается курсивом под заголовком на странице деталей задания и в представлении «Мои задания» назначенного.

Форма создания задания

Вот как выглядит форма создания задания:

Цели заданий

Вы можете назначать обучение на разных уровнях гранулярности:

Отслеживание прогресса

Нажмите на любое задание, чтобы просмотреть его страницу деталей, которая показывает:

• Общий процент завершения — процент назначенных пользователей, которые завершили
• Индивидуальные индикаторы прогресса — индивидуальный прогресс для каждого назначенного
• Статус просрочки — подсвечен после срока
• Индивидуальные баллы — баллы за задания на пользователя

Детали задания

Вот как выглядит страница деталей задания:

Редактирование и деактивация

Вы можете редактировать срок, заметку, флаг обязательности задания и активное состояние в любое время. Изменения применяются немедленно ко всем назначенным.

Действие Удалить устанавливает isActive=false — оно не стирает строку. Задание перестаёт появляться в представлениях «Мои задания» назначенных и перестаёт вносить вклад в метрики соответствия, но прогресс по пользователям сохраняется, поэтому исторические отчёты продолжают разрешаться. Повторная активация деактивированного задания сегодня не выставлена в админ-интерфейсе; это выполнимо через публичный API, отправив {"isActive": true} в PATCH /api/public/v1/assignments/{id}.

Страница списка заданий также выставляет кнопку Экспорт CSV, скачивающую каждое задание с его целью, назначенным, сроком, флагом обязательности и агрегированным прогрессом — полезно для аудит-паков.

Выбор правильной области для задания

Один и тот же учебный контент можно назначить на уровне одной темы, модуля связанных тем или целой категории. Выбор правильного уровня гранулярности — это разница между заданием, которое Ваша команда заканчивает за неделю, и тем, что тянется квартал, пока все вполовину взаимодействуют. Как правило, назначайте по теме, когда реагируете на конкретный инцидент или находку пентеста, назначайте по модулю при онбординге нового найма и назначайте по полной категории только когда у Вас есть размеренная дорожка из недель и чёткая причина соответствия.

Задания на одну тему vs на полный трек

Задание на одну тему — правильный инструмент, когда недавний пентест выявил SQL injection в Вашей кодовой базе, когда CVE в библиотеке, от которой Вы зависите, использует класс уязвимости, который Ваша команда не видела, или когда инженеру нужен целевой рефрешер. Область маленькая, связь с реальным риском прямая, и инженеры заканчивают за один-два захода. Проценты завершения для заданий на уровне темы обычно гораздо выше, чем для заданий на уровне категории, потому что цель конкретна.

Задание на полный трек — скажем, вся категория OWASP Web Top 10 — работает для онбординг-когорт и годовых обязательных учебных циклов, но ему нужен реалистичный срок. Планируйте от шести до десяти недель для трека на уровне категории при устойчивом темпе два-три часа в неделю учебного времени. Более короткие сроки толкают инженеров кликать сквозь контент, не впитывая его, что побеждает цель и производит чистую панель со слабым удержанием за ней.

Тайм-боксинг и доказательства соответствия

Устанавливайте срок на каждое задание, даже опциональное. Срок переформатирует задание как обязательство, а не элемент бэклога, и индикатор просрочки на панели пользователя становится полезным напоминанием для линейных руководителей во время one-on-one. Для обязательного обучения устанавливайте срок за тридцать дней до отсечки доказательств соответствия, чтобы у Вас был буфер для того, чтобы догнать отстающих.

Для организаций, подпадающих под PCI DSS 6.2.2 — который требует, чтобы разработчики получали обучение безопасному программированию, релевантное их рабочей роли, как минимум ежегодно — задания служат основным артефактом доказательства. Список назначенных показывает область, временные метки завершения показывают, когда происходило обучение, а индивидуальные баллы показывают, взаимодействовали ли учащиеся с материалом. Те же артефакты удовлетворяют требованиям ISO 27001 Annex A.14 для обучения безопасной разработке. Держите деактивированные задания в системе, а не удаляйте их, так как окно аудита для обоих стандартов простирается на предыдущие годы.