Подписывайтесь на этот канал. Заходите за новостями в канал телеграмм Топ Кибербезопасности t.me/+HHvIeYkQgyhiMWIy
• Безопасность приложения зависит от культуры команды разработчиков.
• В видео обсуждается проблема уязвимостей в программном обеспечении и способы их предотвращения.
00:00 Могут ли программисты писать безопасный код?
• Для предотвращения уязвимостей предлагается использовать подход "Shift Left", когда безопасность становится ответственностью каждого разработчика.
02:02 Культура безопасности в разработке
• Обсуждается, как компании внедряют культуру безопасности в разработку, где каждый программист осознает свою ответственность за выпуск качественного кода.
03:54 Практики безопасного написания кода
• Упоминается роль "Security Champion" - специалиста, который берет на себя часть функций по проверке безопасности кода.
04:51 Использование ресурсов для повышения уровня знаний
• Упоминается "Open Web Application Security Project" (OWASP), которая предоставляет бесплатные и открытые инструменты, стандарты и методики для улучшения безопасности программного обеспечения.
06:43 Подходы к защите кода
• Обсуждаются различные подходы к защите кода, такие как использование "Intrusion Prevention System" (IPS) или "Application Firewall", которые помогают выявить уязвимости на ранних стадиях разработки.
• Упоминаются методы анализа исходного кода, такие как "Source Composition Analysis" и "Static Application Security Test", которые помогают выявить уязвимости в коде.
07:39 Методы тестирования безопасности приложений
• Статический анализ кода (SAST) - анализ кода на наличие уязвимостей, но может генерировать ложные срабатывания.
• Динамический анализ кода (DAST) - тестирование безопасности приложений во время выполнения, может обнаруживать уязвимости, которые могут быть эксплуатированы.
• Runtime Application Security Protection (RASP) - обертывание опасных кусков кода специальными проверками безопасности, обеспечивает защиту приложений в реальном времени.
11:28 Использование сторонних библиотек
• Software Composition Analysis (SCA) - автоматизированное тестирование используемых библиотек, выявление потенциальных уязвимостей.
• Security Infrastructure as Code (SIaC) - управление инфраструктурой безопасности через код, позволяет определять и реализовывать меры безопасности в виде кода.
13:47 Оценка зрелости процессов безопасной разработки
• Building Security and Maturity Model (BSIMM) - методология оценки процессов безопасной разработки, определение текущего уровня зрелости и отправной точки для повышения уровня зрелости.