2 hrs 1 min
SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect SDCast
-
- Technology
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect.
В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.
Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.
Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности.
В заключении выпуска немного подискутировали о будущем сферы информационной безопасности.
Ссылки на ресурсы по темам выпуска:
* Just Security (https://t.me/justsecurity). Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности.
* ISO/IEC 27034-6 Information technology, Security techniques, Application security (https://www.iso.org/standard/60804.html)
* CIS Benchmarks (https://www.cisecurity.org/cis-benchmarks/)
* CodeQL (https://codeql.github.com/) - code analysis engine developed by GitHub to automate security checks
* Заметка «Hunting for XSS with CodeQL» (https://medium.com/codex/hunting-for-xss-with-codeql-57f70763b938)
* SonarQube (https://www.sonarqube.org/). Если кто-то его ещё не знает :)
* “Software Bill of Materials” (SBOM) (https://www.ntia.gov/SBOM)
* Yandex talk from ZeroNights "Company wide SAST" (https://www.youtube.com/watch?v=JK8uUKjo_ag)
* Bandit (https://github.com/PyCQA/bandit). Helps to find common security issues in Python code
* Owasp ZAP (https://medium.com/cloudadventure/security-in-a-ci-cd-pipeline-876ed8541fa4). Dynamic Application Security Testing tool (DAST)
* IAST Seeker (https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)
* The Docker Bench for Security (https://github.com/docker/docker-bench-security) is a script that checks for dozens of common best-practices around deploying Docker
* Kube-bench (https://github.com/aquasecurity/kube-bench) - Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark
* Книга «Kubernetes Security» (https://kubernetes-security.info/)
* RESTler for RESP API fuzzing (https://github.com/microsoft/restler-fuzzer)
* libFuzzer (https://llvm.org/docs/LibFuzzer.html) a library for coverage-guided fuzz testing
* ClusterFuzz (https://go
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect.
В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.
Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.
Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности.
В заключении выпуска немного подискутировали о будущем сферы информационной безопасности.
Ссылки на ресурсы по темам выпуска:
* Just Security (https://t.me/justsecurity). Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности.
* ISO/IEC 27034-6 Information technology, Security techniques, Application security (https://www.iso.org/standard/60804.html)
* CIS Benchmarks (https://www.cisecurity.org/cis-benchmarks/)
* CodeQL (https://codeql.github.com/) - code analysis engine developed by GitHub to automate security checks
* Заметка «Hunting for XSS with CodeQL» (https://medium.com/codex/hunting-for-xss-with-codeql-57f70763b938)
* SonarQube (https://www.sonarqube.org/). Если кто-то его ещё не знает :)
* “Software Bill of Materials” (SBOM) (https://www.ntia.gov/SBOM)
* Yandex talk from ZeroNights "Company wide SAST" (https://www.youtube.com/watch?v=JK8uUKjo_ag)
* Bandit (https://github.com/PyCQA/bandit). Helps to find common security issues in Python code
* Owasp ZAP (https://medium.com/cloudadventure/security-in-a-ci-cd-pipeline-876ed8541fa4). Dynamic Application Security Testing tool (DAST)
* IAST Seeker (https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html)
* The Docker Bench for Security (https://github.com/docker/docker-bench-security) is a script that checks for dozens of common best-practices around deploying Docker
* Kube-bench (https://github.com/aquasecurity/kube-bench) - Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark
* Книга «Kubernetes Security» (https://kubernetes-security.info/)
* RESTler for RESP API fuzzing (https://github.com/microsoft/restler-fuzzer)
* libFuzzer (https://llvm.org/docs/LibFuzzer.html) a library for coverage-guided fuzz testing
* ClusterFuzz (https://go
2 hrs 1 min