SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect

Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect.

В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.

Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.

Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности.

В заключении выпуска немного подискутировали о будущем сферы информационной безопасности.

Читать далее

SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».

В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.

Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.

В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.

Читать далее

SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security

Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.

Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.

Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:

  • SAST (инструменты статического анализа)
  • SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
  • DAST/IAST (инструменты динамического/интерактивного анализа)
  • Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
  • Инструменты дефект-менеджмента

Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.

Читать далее

SDCast #89 DevOps Edition: Авито

Друзья, рад представить вам интервью с Александром Лукьянченко и Сергеем Носковым из компании Авито, записанное на прошедшей конференции DevOps Conf Russia 2018.

В этом выпуске мы вновь собрались дружной подкастерской компанией вместе с Антоном @golodnyj из «The Art Of Programming» и Иваном @gliush из «DevZen» и взяли интервью у ребят из Авито. Сергей является инженером по безопасности, а Александр — ведущий разработчик в команде архитектуры.


Ребята рассказали про то, как устроена платформа Авито, что под этим подразумевается, и как функционирует. Мы подискутировали о различных DevOps-вопросах, таких как:

  • межсервисное взаимодействие,
  • базовые блоки для построения новых сервисов,
  • коммуникации между командами разработки и расширение знаний,
  • вопросы безопасности сервисов.

Ребята рассказали про то, как эволюционировала их платформа и процессы разработки в контексте информационной безопасности, рассказали про способы обучения и повышения квалификации инженеров, рассказали про Security Champions — кто это и зачем они нужны.


Также обсудили мы и различные популярные темы в DevOps-мире: Service Mesh, оркестрацию контейнеров, управление конфигурациями, мониторинг и отладку сервисов.

Читать далее