SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect

Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect.

В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.

Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.

Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности.

В заключении выпуска немного подискутировали о будущем сферы информационной безопасности.

Читать далее

SDCast #137: в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies»

Давно мы не говорили про безопасность приложений, платформ и вообще аспекты безопасности в разработке. Исправляем! Встречайте 137-й выпуск подкаста. У меня в гостях Артём Кулаков, исследователь безопасности в компании «Positive Technologies».

В этом выпуске мы говорим с Артёмом про его путь в айти и трансформацию из разработчика в исследователя безопасности в целом и в контексте мобильной платформы Android в первую очередь. Обсуждаем безопасность самой платформы, её эволюцию, что делают вендоры и Гугл в частности для улучшения безопасности платформы и приложений на ней. Какие есть инструменты, техники, приёмы и механизмы для контроля и предотвращения и улучшения вопросов безопасности.

Обсуждаем вопросы документации и базовых знаний разработчиков. Как официальная документация платформы и примеры кода влияют на качество кода разрабатываемых приложений. Какими базовыми знаниями по безопасности необходимо обладать разработчикам. Где и как получать эти знания и информацию. Обсудили тему фреймворков и различных библиотек, который абстрагируют работу с различными системными компонентами и как это влияет на качество кода. Обсудили, какие есть варианты аудита безопасности приложений: внутри компаний и вне.

В заключении выпуска немного подискутировали о новых тенденциях и веяниях в области безопасности приложений.

Читать далее

SDCast #127: в гостях разработчик Intercepter-NG

intercepter logoТоварищи, в этот раз вас ждёт необычный выпуск подкаста! У меня в гостях автор и разработчик набора сетевых инструментов Intercepter-NG, так же известный как Ares.

В этом выпуске Ares рассказывает историю создания Intercepter, мы обсуждаем его возможности и детали реализации, такие как, например, сетевой сканер, восстановление файлов из траффика, подмену DHCP и многое другое. Кстати, в этом году проекту исполняется не много не мало — 15 лет!

Обсуждаем различные аспекты информационной безопасности в целом, в enterprise сегменте и малом бизнесе, где и для каких целей применяются такие инструменты как Intercepter-NG. Да и просто дискутируем про ИБ в целом, базовые знания, светлую и тёмную сторону хакерства.

Читать далее

SDCast #116: в гостях Виктор Яблоков, руководитель мобильной разработки «Лаборатории Касперского»

Встречайте 116-й выпуск подкаста, на этот раз посвящённый аспектам безопасности мобильных платформ и разработке решений по обеспечению безопасности мобильных устройств. У меня в гостях Виктор Яблоков, руководитель мобильной разработки «Лаборатории Касперского».

В этом выпуске мы говорим о том, как развивались мобильные технологии от первых смартфонов на symbian до наших дней, какие были проблемы безопасности в мобильной сфере тогда и что изменилось сейчас. Виктор рассказывает про то, как работают различные виды вредоносов и как от них защищаться.

Так же Виктор рассказал про то, как устроено ядро безопасности и SDK для мобильных приложений, которое они разрабатывают, какие там используются технологии, фреймворки и языки программирования.

Поговорили мы и о вендорских прошивках на базе Android, какие это привносит сложности в разработку, чем помогает Google Compatibility Suite и как устроено тестирование в целом.

Так же Виктор рассказал про процессы разработки в своём отделе, команды, разработчиков, мотивацию и возможность ротации.

Мы обсудили подходы к экспериментам с функциями и UI/UX приложений и A/B тестирование, Виктор рассказал как и на ком они проводят свои эксперименты.

В заключении выпуска подискутировали о том, куда движется индустрия мобильной разработки в целом.

Читать далее

SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security

Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.

Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.

Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:

  • SAST (инструменты статического анализа)
  • SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
  • DAST/IAST (инструменты динамического/интерактивного анализа)
  • Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
  • Инструменты дефект-менеджмента

Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.

Читать далее

SDCast #89 DevOps Edition: Авито

Друзья, рад представить вам интервью с Александром Лукьянченко и Сергеем Носковым из компании Авито, записанное на прошедшей конференции DevOps Conf Russia 2018.

В этом выпуске мы вновь собрались дружной подкастерской компанией вместе с Антоном @golodnyj из «The Art Of Programming» и Иваном @gliush из «DevZen» и взяли интервью у ребят из Авито. Сергей является инженером по безопасности, а Александр — ведущий разработчик в команде архитектуры.


Ребята рассказали про то, как устроена платформа Авито, что под этим подразумевается, и как функционирует. Мы подискутировали о различных DevOps-вопросах, таких как:

  • межсервисное взаимодействие,
  • базовые блоки для построения новых сервисов,
  • коммуникации между командами разработки и расширение знаний,
  • вопросы безопасности сервисов.

Ребята рассказали про то, как эволюционировала их платформа и процессы разработки в контексте информационной безопасности, рассказали про способы обучения и повышения квалификации инженеров, рассказали про Security Champions — кто это и зачем они нужны.


Также обсудили мы и различные популярные темы в DevOps-мире: Service Mesh, оркестрацию контейнеров, управление конфигурациями, мониторинг и отладку сервисов.

Читать далее

SDCast #69: в гостях Михаил Белопухов, разработчик OpenBSD

Всё что вы хотели узнать о OpenBSD и даже намного больше информации ждёт вас в 69-м выпуске SDCast’а! У меня в гостях Миша Белопухов, разработчик OpenBSD.

В начале Миша рассказал про то, как он сам познакомился с OpenBSD, как начал изучать операционные системы и как его интерес неожиданно превратился во вполне оплачиваемую работу :)

Миша адаптировал OpenBSD для работы на различном железе и в различном окружении, в том числе и виртуальном, поэтому он портировал разные драйвера устройств. Миша рассказал интересные истории из своего опыта портирования, как работают различные драйверы, механизмы взаимодействия с железом и ядром ОС.

Обсудили мы и в целом операционную систему OpenBSD, как она устроена, на каких принципах построена, как работает ядро системы, драйвера и user space код.

Обсудили вопросы, связанные с безопасностью и защищенностью, как самой ОС, так и прикладного кода, работающего в системе. OpenBSD известна своим слоганом “Secure by Default” и тем, что вопросам безопасности там уделяется большое внимание. Миша рассказал про различные подсистемы обеспечения безопасности, применяемые в OpenBSD, такие как:

  • Рандомизация адресного пространства ядра, KARL (Kernel Address Randomized Link)
  • Рандомизация размещения адресного пространства, ASLR (address space layout randomization)
  • strlcpy() и strlcat() – нестандартные функции, созданные в качестве замены часто используемых некорректным образом аналогов стандартной библиотеки
  • fork+exec, PIE, pledge и другие.

Отдельно поговорили о криптографических алгоритмах, способах их реализации с использованием возможностей современных процессоров, таких как SIMD, а так же о их применении в SSH и SSL.

Читать далее

SDCast #52: в гостях Вадим Жуков, разработчик OpenBSD, мейнтейнер портов KDE и Qt

Встречайте 52-й выпуск SDCast’а, целиком и полностью посвящённый OpenBSD. У меня в гостях Вадим Жуков, разработчик OpenBSD, мейнтейнер портов KDE и Qt и преподаватель операционных систем по совместительству.

В этом выпуске мы обсудили, кажется, все возможные аспекты проекта OpenBSD. Хотя Вадим не согласен: “По моим ощущениям, мы обсудили далеко не всё, но нельзя объять необъятное”! :) И тем не менее… В начале Вадим рассказал, как он сам попал в проект, чем занимался в начале и как стал мейнтейнером таких тяжелых пакетов как KDE и Qt.

Обсудили то, как устроен проект OpenBSD: насколько велико сообщество разработчиков, какие там есть зоны ответственности, как устроен процесс разработки, тестирования, выпуска релизов, как устроена инфраструктура проекта, насколько велика роль лидера проекта Тео де Раадта и другие смежные вопросы.

Вадим подробно рассказал про устройство пакетов и портов OpenBSD, чем они отличаются от других пакетных систем, как устроен процесс появления нового пакета в дереве портов. Отдельно внимания заслуживает рассказ Вадима о портировании KDE4 в OpenBSD. Так же Вадим рассказал про его небольшие исследования в области автоматической настройки сети, Wi-fi и маршрутизации.

Поговорили мы и о областях применения OpenBSD: для кого этот дистрибутив, чем он может быть интересен разработчикам и пользователям, как начать своё участие в проекте.

Так же Вадим рассказал про хакатоны OpenBSD: зачем они проводятся, какие цели преследуются, как организовываются и кто принимает в них участие. Кстати, ещё Вадим поделился опытом менторства одного подпроекта в рамках участия OpenBSD в Google Summer of Code.

Читать далее

SDCast #51: в гостях Денис Макрушин, антивирусный эксперт Лаборатории Касперского

sd-podcast-logoРад представить вам 51-й выпуск SDCast’а! У меня в гостях Денис Макрушин, антивирусный эксперт «Лаборатории Касперского». В этом выпуске мы говорим о безопасности в ИТ в целом, о том, какие есть направления в безопасности, что происходит в отрасли, насколько велика роль безопасности в ИТ для бизнеса и прочие вопросы.

Обсудили мы и тему безопасности в различных сферах, таких как Internet of Things, облака, веб-приложения, базы данных, вспомнили недавно нашумевшие новости про ботнет из камер видеонаблюдения, и заражение серверов MongoDB.

Затронули немаловажный социальный аспект повышения уровня грамотности как разработчиков, так и простых пользователей. Что можно и нужно делать, чтобы программисты с первых дней разработки софта задумывались о вопросах безопастности. Как, когда, на каких стадиях можно и нужно привлекать экспертов по безопасности, как меняется процесс разработки с привлечением экспертов по безопасности и многое другое. Поговорили на тему того, как сделать продукт, удобный для простых пользователей, но при этом достаточно безопасный и защищенный.

Денис довольно часто выступает и, уж тем более, посещает различные конференции по безопасности по всему миру, и он так же рассказал о мировом и локальных сообществах хакеров, экспертов по безопасности в различных частях света и поделился впечатлением о недавних конференциях.

Читать далее

Software Development podCAST #8

sd-podcast-logo После долгого летнего перерыва в связи с отпусками и прочими делами, мы снова в строю! Встречайте новый выпуск SDCast’а. У меня в гостях Сергей Белов, исследователь по безопасности из компании Digital Security. Обсуждаем с Сергеем тему безопасности в ИТ индустрии в целом, безопасность веб-сервисов, приложений, вопросы авторизации, загрузку и проверку пользовательских данных, существующие типы атак и способы защиты от них, а так же многое другое. Так же Сергей немного рассказал про одну из главных конференций по безопасности — BlackHat USA, на которой ему довелось побывать.

Читать далее