SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security
SDCast
Russian - January 15, 2019 08:55 - 1 hour - 70.5 MB - ★★★★ - 7 ratingsTechnology Homepage Download Apple Podcasts Google Podcasts Overcast Castro Pocket Casts RSS feed
Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.
Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.
Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:
* SAST (инструменты статического анализа)
* SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
* DAST/IAST (инструменты динамического/интерактивного анализа)
* Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
* Инструменты дефект-менеджмента
Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.
Ссылки на ресурсы по темам выпуска:
* Базовые уязвимости OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)
* Требования OWASP Application Security Verification Standard (https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads)
* Как проверять требования (OWASP Testing Guide) (https://github.com/OWASP/OWASP-Testing-Guide-v5)
* (https://continuumsecurity.net/bdd-security/)BDD Security (https://continuumsecurity.net/bdd-security/). Неплохая идея, как можно автоматизировать проверку требований
* BSIMM. Фреймворк для построения процесса SSDL (https://www.bsimm.com/)
* OpenSAMM. Фреймворк для построения процесса SSDL (https://www.opensamm.org/)
* Nexus IQ. Платформа для проверки OpenSource Components (https://www.sonatype.com/nexus-iq-server)
* Checkmarx SAST. Инструмент SAST (https://www.checkmarx.com/products/static-application-security-testing/)
* Appsec Orchestration. Управление и оркестрация процессов SSDL (https://swordfishsecurity.ru/appsechub)
* Бэкдор в event-stream (https://habr.com/post/431360/)
* Несколько открытых проектов с уязвимостями для обучения:
* DVWA (http://www.dvwa.co.uk/)
* Juice Shop (https://www.owasp.org/index.php/OWASP_Juice_Shop_Project)
* iOS (http://damnvulnerableiosapp.com/)
* Android (https://github.com/dineshshetty/Android-InsecureBankv2)
* Гайд для Security Champions (security-champions-playbook) (https://github.com/c0rdis/security-champions-playbook)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon) а так же ретвитом, постом и просто рассказом друзьям!