15 января 2019
SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security
0
11
Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.
Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.
Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:
* SAST (инструменты статического анализа)
* SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
* DAST/IAST (инструменты динамического/интерактивного анализа)
* Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
* Инструменты дефект-менеджмента
Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.
Ссылки на ресурсы по темам выпуска:
* Базовые уязвимости OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
* Требования OWASP Application Security Verification Standard (https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads)
* Как проверять требования (OWASP Testing Guide) (https://github.com/OWASP/OWASP-Testing-Guide-v5)
* (https://continuumsecurity.net/bdd-security/)BDD Security (https://continuumsecurity.net/bdd-security/). Неплохая идея, как можно автоматизировать проверку требований
* BSIMM. Фреймворк для построения процесса SSDL (https://www.bsimm.com/)
* OpenSAMM. Фреймворк для построения процесса SSDL (https://www.opensamm.org/)
* Nexus IQ. Платформа для проверки OpenSource Components (https://www.sonatype.com/nexus-iq-server)
* Checkmarx SAST. Инструмент SAST (https://www.checkmarx.com/products/static-application-security-testing/)
* Appsec Orchestration. Управление и оркестрация процессов SSDL (https://swordfishsecurity.ru/appsechub)
* Бэкдор в event-stream (https://habr.com/post/431360/)
* Несколько открытых проектов с уязвимостями для обучения:
* DVWA (http://www.dvwa.co.uk/)
* Juice Shop (https://www.owasp.org/index.php/OWASP_Juice_Shop_Project)
* iOS (http://damnvulnerableiosapp.com/)
* Android (https://github.com/dineshshetty/Android-InsecureBankv2)
* Гайд для Security Champions (security-champions-playbook) (https://github.com/c0rdis/security-champions-playbook)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon) а так же ретвитом, постом и просто рассказом друзьям!
Плейлист
SDCast
Рад представить вам 143-й выпуск подкаста. У меня в гостях Анна Петровичева, директор компании Xperience AI. И в этом выпуске мы говорим про искусственный интеллект, задачи распознавания изображений и...
SDCast #142: в гостях Полина Чижова, руководитель направления продуктов в СберМаркете
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Серг...
Встречайте 140-й выпуск подкаста. У меня в гостях Елена Степанова из компании Nokia, спикер конференций C++ Russia. В этом выпуске мы говорим про мобильные сети, базовые станции, системное программиро...
Что-то давно мы не говорили про тестирование и качество софта, а про тестирование программно-аппаратных комплексов и подавно. Исправляемся! Встречайте 139-й выпуск подкаста. В этот раз у меня в гостях...
Что вы знаете про 3D графику в вебе? А про стандарты W3C по работе с 3D графикой? У меня в гостях Денис Радин, так же известный в интернетах как PixelCommander, один из первых react разработчиков в Н...
Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопа...
Встречайте 136-й выпуск подкаста, в котором у меня в гостях Иван Евтухович, сооснователь компании «Экспресс 42». Этот выпуск получился больше философским и без каких-то хардкорных технических подробно...
Встречайте 135-й выпуск подкаста. У меня в гостях Андрей Листочкин, CTO в компании Viravix. Очень давно мы собирались пообщаться с Андреем, но свершилось это вот только сейчас. Так что тем для обсужде...
Рад представить вам 134-й выпуск подкаста, в котором идёт речь про AlmaLinux. Наверняка многие из вас слышали про операционную систему CentOS, которая развивалась в основном силами компании RedHat. Но...
Встречайте 131-й выпуск подкаста. У меня в гостях Евгений Сальников, тимлид в компании «Lamoda». В этом выпуске Женя рассказывает про свой довольно витиеватый путь в Айти. Мы обсуждаем различные аспек...
Как часто вам приходится иметь дело с API? Думаю, что почти каждый день: API сервиса, API браузера, API библиотеки или в конце концов API языка программирования. Как же спроектировать хорошее API, кот...
Встречайте 131-й выпуск подкаста. У меня в гостях Евгений Антонов, тимлид в компании «Positive Technologies». С Женей мы знакомы давно, да и поговорить любим, так что выпуск получился довольно продолж...
Рад представить вам 130-й выпуск подкаста, в котором у меня в гостях Егор Болгов, технический руководитель одного из продуктовых направлений в Semrush. В этом выпуске мы говорим о распиле монолита в с...
Встречайте 129-й выпуск подкаста. У меня в гостях Игорь Кузнецов, тимлид в компании «GOST GROUP». В этом выпуске мы говорим про консалтинг и продуктовую разработку, как давать первичную оценку проекта...
Встречайте 128-й выпуск подкаста, в котором у меня в гостях Виталий Виноградов продукт-менеджер b2b продуктов компании NtechLab. В этом выпуске мы говорим про то, кто такой продукт-менеджер, его роль...
Товарищи, в этот раз вас ждёт необычный выпуск подкаста! У меня в гостях автор и разработчик набора сетевых инструментов Intercepter-NG, так же известный как Ares.
В этом выпуске Ares рассказывает ис...
Рад представить вам 126-й выпуск подкаста, в котором мы говорим про Domain Driven Design (DDD) и unit-тестирование. У меня в гостях Владимир Хориков, автор книги про Unit-тестирование и блога Enterpri...
Встречайте 125-й выпуск подкаста, в котором у меня в гостях Антон Виноградов, руководитель фронтенд-разработки SberDevices (https://sberdevices.ru/). В этом выпуске мы говорим про интернет вещей, умны...
Товарищи! После затянувшегося перерыва встречайте 124 выпуск подкаста! На этот раз у меня в гостях Михаил Боднарчук, веб-разработчик из Киева, автор фреймворков для тестирования Codeception & Codecept...
Встречайте 123-й выпуск подкаста, в котором у меня в гостях Иван Муратов, технический директор Первой Мониторинговой Компании в Краснодаре, активист Краснодарского ИТ сообщества и основатель бэкенд-ми...
После несколько затянувшегося перерыва, встречайте 122-й выпуск подкаста, посвящённый файловой системе ZFS. У меня в гостях Георгий Меликов, контрибьютор проектов OpenZFS и ZFS on Linux.
В этом выпу...
Товарищи, в этот раз вас ждёт необычный выпуск подкаста! Почему? — Этот выпуск был записан в прямом эфире с обсуждением вопросов зрителей, онлайн-голосованиями и другими активностями. Но не переживайт...
Встречайте 120-й выпуск подкаста с ребятами из компании Lamoda. У меня в гостях Павел Савельев, руководитель отдела автоматизации бизнес-процессов и Павел Агалецкий, системный архитектор.
В этом выпу...
Продолжаем серию выпусков про IDE. На этот раз у меня в гостях Андрей Старовойт, разработчик из команды WebStorm в JetBrains.
В этом выпуске мы сконцентрировались на вопросах поддержки в IDE новых фи...
Что-то давно не было у меня выпусков про настоящий Open Source, linux, BSD. Восполняем этот пробел! У меня в гостях Дмитрий Маракасов, разработчик свободного ПО, автор проекта repology (https://repolo...
Рад представить вашему вниманию 117-й выпуск SDCast’а, посвящённый вопросам проектирования и разработки UI/UX программных продуктов. У меня в гостях Денис Падрухин, директор компании разработки INEDI....
Встречайте 116-й выпуск подкаста, на этот раз посвящённый аспектам безопасности мобильных платформ и разработке решений по обеспечению безопасности мобильных устройств. У меня в гостях Виктор Яблоков,...
Рад представить 115-й выпуск подкаста, речь в котором идёт про Bitcoin. Волна хайпа биткоина и блокчейн технологий немного спала, но тем не менее капитализация биткоина по прежнему превышает 130 млд д...
Встречайте 114-й выпуск подкаста! У меня в гостях Александр Кукушкин, database инженер в Zalando. Хотя, наверное, многие знают его как разработчика Patroni: A Template for PostgreSQL HA with ZooKeeper...