Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.
Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.
Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:
- SAST (инструменты статического анализа)
- SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
- DAST/IAST (инструменты динамического/интерактивного анализа)
- Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
- Инструменты дефект-менеджмента
Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.
Ссылки на ресурсы по темам выпуска:
- Базовые уязвимости OWASP Top 10
- Требования OWASP Application Security Verification Standard
- Как проверять требования (OWASP Testing Guide)
- BDD Security. Неплохая идея, как можно автоматизировать проверку требований
- BSIMM. Фреймворк для построения процесса SSDL
- OpenSAMM. Фреймворк для построения процесса SSDL
- Nexus IQ. Платформа для проверки OpenSource Components
- Checkmarx SAST. Инструмент SAST
- Appsec Orchestration. Управление и оркестрация процессов SSDL
- Бэкдор в event-stream
- Несколько открытых проектов с уязвимостями для обучения:
- Гайд для Security Champions (security-champions-playbook)
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon а так же ретвитом, постом и просто рассказом друзьям!