Про продуктову безпеку: стандарти, підходи та використання АІ

Зустрічайте десятий, ювілейний випуск Fwdays Architecture Talks! У цьому випуску наші постійні спікери — Олександр Савченко та Олексій Петров — разом із гостем, Анастасією Войтовою, Head of Security Engineering в Cossac Labs | CISSP, обговорять: — Security practice and people - Що таке Security, чому спеціалісти різноманітні і кого треба шукати — Основні драйвери для Безпеки продукту - звідки беруть рішення по безпеці, які є стандарти та методології — Безпека в епоху AI - Які AI тули допомагають покращити безпеку продукту - Основні загрози та як підвищити безпеку бізнес фіч з АІ Корисні посилання: — Security Quality Attributes: https://www.iso25000.com/index.php/en/iso-25000-standards/iso-25010?start=5 — SAFEcode Fundamental Practices for Secure Software Development: https://safecode.org/uncategorized/fundamental-practices-secure-software-development/ — SFIA Cyber Security: https://sfia-online.org/en/tools-and-resources/sfia-views/sfia-view-information-cyber-security/sfia-skills-and-information-security — Security software architecture — що це за звір: https://www.cossacklabs.com/job/security-software-architect/ — Data Centric security: - NIST SP 800-154 Guide to Data-Centric System Threat Modeling: https://csrc.nist.gov/pubs/sp/800/154/ipd - Anastasiia’s talk about data centric security: https://speakerdeck.com/vixentael/data-is-a-new-security-boundary — Чеклісти для розробників - OWASP Cheatsheets -- конкретні теми по реалізації засобів безпеки (JWT, authentication, microservice security): https://cheatsheetseries.owasp.org/index.html - Веб безпека OWASP ASVS: https://github.com/OWASP/ASVS/tree/master - Мобільна безпека OWASP MASVS: https://github.com/OWASP/owasp-masvs/tree/master - Мобільна безпека CL Mobile Security Score: https://www.cossacklabs.com/news/product-news/introducing-cl-mss-security-verification-framework-for-mobile-apps/ - IoT безпека: https://github.com/OWASP/owasp-istg — AI & security - Використання ML моделей для прискорення пошуку вразливостей: https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/ - MITRE ATLAS — чекліст з захисту AI / ML застосунків: https://atlas.mitre.org - Блогпост Cossack Labs про захист ML моделей на пристроях (edge ML security): https://www.cossacklabs.com/blog/machine-learning-security-ml-model-protection-on-mobile-apps-and-edge-devices/ - EchoLeak (CVE‑2025‑32711) — “zero‑click” атака на AI‑агента з глибокою автоматизацією так, що користувач не виконує жодної дії: https://www.aim.security/lp/aim-labs-echoleak-blogpost — 6,500+ Secret AI System Prompts from Top Companies: https://github.com/x1xhlol/system-prompts-and-models-of-ai-tools — Another leaked prompts repo: https://github.com/jujumilk3/leaked-system-prompts На що варто підписатися: – Більше цікавого для розробників: https://fwdays.com – Телеграм-канал Fwdays: https://t.me/fwdays – Телеграм-канал Олексія: https://t.me/OleksiiTheArchitect – LinkedIn Олексія: https://www.linkedin.com/in/alexhelkar – LinkedIn Олександра: https://www.linkedin.com/in/o-savchenko/ – LinkedIn Анастасії: https://www.linkedin.com/in/anastasiiavoitova/?originalSubdomain=ua Таймкоди: 00:00 - Інтро 01:38 - Що таке Security і навіщо? Security Quality Attributes 07:49 - Різні спеціалісти («security»/«architect engineer»): кого шукати та мінімальний склад 24:19 - Main Drivers, Вимоги безпеки, Ризики: як ухвалюються рішення, стандарти, best practices та помилки 31:48 - Security controls, tactics 36:33 - Чеклісти для розробників: OWASP ASVS / MASVS / SAMM, NIST 48:00 - AI & Security: Які AI тули допомагають покращити безпеку продукту? 01:00:46 - Основні загрози та як підвищити безпеку бізнес фіч з АІ? 01:06:28 - Summary