Bezpieczny Kod Podcast Andrzej Dyjak, Krzysztof Korozej

W tym odcinku naszego cyklu wywiadów, mamy przyjemność gościć Bartosza Różańskiego, Software Security Engineer, doświadczonego programistę z ponad 15 letnim stażem, który obecnie wykorzystuje zdobyte doświadczenie aby wspomagać zespoły w wytwarzaniu bezpiecznych aplikacji.

Bartosz przedstawi nam spojrzenie programisty na bezpieczeństwo oraz opowie o tym jak bezpieczeństwo może być włączane jako element cyklu wytwórczego w sposób efektywny i skuteczny.

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

📌 Sprawdź też:
Strona firmowa - https://bezpiecznykod.pl
Szkolenie online ABCD - https://abcdevsecops.pl
Szkolenie online OTWA - https://ofensywnetestowanie.pl

🔔 Subskrybuj kanał:
Bezpieczny Kod - YouTube

🤝 Ten odcinek powstał dzięki współpracy z Fundacją Academic Partners, organizatora:
Warszawskich Dni Informatyki - https://warszawskiedniinformatyki.pl/
The Hack Summit - https://thehacksummit.com/

❤️ Dziękujemy za Twoją uwagę!

#cybersecurity #appsec #software #softwareengineer #programowanie #bezpieczeństwo #sdlc

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

📌 Sprawdź też:
Strona firmowa - https://bezpiecznykod.pl
Szkolenie online ABCD - https://abcdevsecops.pl
Szkolenie online OTWA - https://ofensywnetestowanie.pl

🔔 Subskrybuj kanał:
https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1

🔗 Referencje:
https://johnstawinski.com/2024/04/15/fixing-typos-and-breaching-microsofts-perimeter/
https://cert.orange.pl/wp-content/uploads/2024/04/Raport_CERT_Orange_Polska_2023.pdf
https://openssf.org/blog/2024/04/15/open-source-security-openssf-and-openjs-foundations-issue-alert-for-social-engineering-takeovers-of-open-source-projects/
https://www.cisa.gov/news-events/news/lessons-xz-utils-achieving-more-sustainable-open-source-ecosystem
https://googleprojectzero.blogspot.com/2024/04/the-windows-registry-adventure-1.html
https://old.reddit.com/r/netsec/comments/1c78m8i/on_windows_registry_by_researcher_who_got_50_cves/
https://www.datadoghq.com/state-of-devsecops/

W pierwszym odcinku naszego cyklu wywiadów, mamy przyjemność gościć Arnikę Hryszko, prezeskę SJSI, doświadczoną specjalistkę w obszarze QA, która działa na wszystkich poziomach rozwoju rozwiązań - od zbierania wymagań, przez testy z użytkownikami, aż po dostarczenie finalnego produktu.

Arnika dzieli się swoim bogatym doświadczeniem w zapewnianiu jakości (w tym bezpieczeństwa) w branży IT. Przesłuchując odcinek dowiesz się jak bezpieczeństwo wpływa na szerszą jakość oprogramowania i jakie praktyki mogą podnieść standardy w Twojej organizacji.


Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

📌 Sprawdź też:
Strona firmowa - https://bezpiecznykod.pl
Szkolenie online ABCD - https://abcdevsecops.pl
Szkolenie online OTWA - https://ofensywnetestowanie.pl

🔔 Subskrybuj kanał:
https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1

🤝 Ten odcinek powstał dzięki współpracy z Fundacją Academic Partners, organizatora:
Warszawskich Dni Informatyki - https://warszawskiedniinformatyki.pl/
The Hack Summit - https://thehacksummit.com/

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

📌 Sprawdź też:
Strona firmowa - https://bezpiecznykod.pl
Szkolenie online ABCD - https://abcdevsecops.pl
Szkolenie online OTWA - https://ofensywnetestowanie.pl

🔔 Subskrybuj Kanał YouTube:
https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1

🔗 Referencje:
https://lcamtuf.substack.com/p/technologist-vs-spy-the-xz-backdoor
https://research.swtch.com/xz-timeline
https://www.gitguardian.com/files/the-state-of-secrets-sprawl-report-2024
https://www.thoughtworks.com/radar
https://arstechnica.com/security/2024/02/github-besieged-by-millions-of-malicious-repositories-in-ongoing-attack/
https://blog.phylum.io/typosquatting-campaign-targets-python-developers/
https://blog.limbus-medtec.com/the-aws-s3-denial-of-wallet-amplification-attack-bc5a97cc041d
https://gofetch.fail/

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

Bezpieczny Kod Podcast: Miejsce, gdzie wspólnie z  @krzysztofkorozej  odkrywamy najważniejsze wydarzenia z minionego miesiąca w świecie cybersecurity.

🔗 Referencje:
Wyciek w Mercedesie - https://redhuntlabs.com/blog/mercedes-benz-source-code-at-risk-github-token-mishap-sparks-major-security-concerns/
Wyciek w BMW - https://socradar.io/sensitive-information-belonging-to-bmw-exposed-due-to-misconfigured-cloud-bucket/
Top 10 Web Hacking Techniques - https://portswigger.net/research/top-10-web-hacking-techniques-of-2023
LLM hackują web aplikacje - https://arxiv.org/html/2402.06664v1
LockBit i dziura w PHP - https://malware.news/t/international-authorities-strike-blow-against-lockbit-ransomware-operation-cronos/78918
GRU hackuje - https://www.recordedfuture.com/russia-aligned-tag-70-targets-european-government-and-military-mail
Meltdown - https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability)

Dołącz do społeczności bezpieczników: https://bezpiecznykod.pl/discord

Bezpieczny Kod Podcast: Miejsce, gdzie wspólnie z  @krzysztofkorozej  odkrywamy najważniejsze wydarzenia z minionego miesiąca w świecie cybersecurity.

🔗 Referencje:
Krytyczna podatność w GitLab - https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions
2023 CVE Data Review - https://jerrygamblin.com/2024/01/03/2023-cve-data-review/
The State of Software Supply Chain Security 2024 - https://www.reversinglabs.com/sscs-report
Hackowanie CICD - https://johnstawinski.com/2024/01/05/worse-than-solarwinds-three-steps-to-hack-blockchains-github-and-ml-through-github-actions/
State of API Security 2024 The API Secret Sprawl - https://escape.tech/the-api-secret-sprawl-2024
Projekt Artemis (Nask) - https://cert.pl/en/posts/2024/01/artemis-security-scanner/
MavenGate - https://blog.oversecured.com/Introducing-MavenGate-a-supply-chain-attack-method-for-Java-and-Android-applications/
CVE-2023-6246 - https://www.qualys.com/2024/01/30/cve-2023-6246/syslog.txt
KEV - https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Binary Exploitation vs Web Security (via  @LiveOverflow ) - https://www.youtube.com/watch?v=FbeaklEkMgM