Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect.
В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.
Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.
Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности.
В заключении выпуска немного подискутировали о будущем сферы информационной безопасности.
Ссылки на ресурсы по темам выпуска:
- Just Security. Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности.
- ISO/IEC 27034-6 Information technology, Security techniques, Application security
- CIS Benchmarks
- CodeQL – code analysis engine developed by GitHub to automate security checks
- Заметка «Hunting for XSS with CodeQL»
- SonarQube. Если кто-то его ещё не знает :)
- “Software Bill of Materials” (SBOM)
- Yandex talk from ZeroNights “Company wide SAST”
- Bandit. Helps to find common security issues in Python code
- Owasp ZAP. Dynamic Application Security Testing tool (DAST)
- IAST Seeker
- Статья «10 Container Security Scanners to find Vulnerabilities»
- Anchore. A comprehensive, continuous security and compliance platform to protect your cloud-native applications
- Статья «12 Container image scanning best practices to adopt in production»
- The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker
- Kube-bench – Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark
- Книга «Kubernetes Security»
- RESTler for RESP API fuzzing
- libFuzzer a library for coverage-guided fuzz testing
- ClusterFuzz is a scalable fuzzing infrastructure that finds security and stability issues in software
- OSS-Fuzz – continuous fuzzing for open source softwar
- Microsoft Sentinel. Next-generation security operations with cloud and AI
- Книга «Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats»
Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon, звёздочками в iTunes или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast, где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!