СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Видео
Денис Батранков
26.04.2024
#Dev#ИБ

Могут ли программисты писать безопасный код?

Видео превью

• Каждый программист должен понимать важность защиты приложений от уязвимостей.
• Безопасность — это не только технические решения, но и культура внутри команд разработчиков.
• В видео обсуждается проблема уязвимостей в программном обеспечении и способы их предотвращения.
• Заходите за новостями в телеграм Топ Кибербезопасности https://t.me/+HHvIeYkQgyhiMWIy
• Подписывайтесь на этот канал youtube.

00:00 Могут ли программисты писать безопасный код?

• Для предотвращения уязвимостей предлагается использовать подход «Shift Left», когда безопасность становится ответственностью каждого разработчика.

02:02 Культура безопасности в разработке

• Обсуждается, как компании внедряют культуру безопасности в разработку, где каждый программист осознает свою ответственность за выпуск качественного кода.

03:54 Практики безопасного написания кода

• Упоминается роль «Security Champion» — специалиста, который берет на себя часть функций по проверке безопасности кода.

04:51 Использование ресурсов для повышения уровня знаний

• Упоминается «Open Web Application Security Project» (OWASP), которая предоставляет бесплатные и открытые инструменты, стандарты и методики для улучшения безопасности программного обеспечения.

06:43 Подходы к защите кода

• Обсуждаются различные подходы к защите кода, такие как использование «Intrusion Prevention System» (IPS) или «Application Firewall», которые помогают выявить уязвимости на ранних стадиях разработки.
• Упоминаются методы анализа исходного кода, такие как «Source Composition Analysis» и «Static Application Security Test», которые помогают выявить уязвимости в коде.

07:39 Методы тестирования безопасности приложений

• Статический анализ кода (SAST) — анализ кода на наличие уязвимостей, но может генерировать ложные срабатывания.
• Динамический анализ кода (DAST) — тестирование безопасности приложений во время выполнения, может обнаруживать уязвимости, которые могут быть эксплуатированы.
• Runtime Application Security Protection (RASP) — обертывание опасных кусков кода специальными проверками безопасности, обеспечивает защиту приложений в реальном времени.

11:28 Использование сторонних библиотек

• Software Composition Analysis (SCA) — автоматизированное тестирование используемых библиотек, выявление потенциальных уязвимостей.
• Security Infrastructure as Code (SIaC) — управление инфраструктурой безопасности через код, позволяет определять и реализовывать меры безопасности в виде кода.

13:47 Оценка зрелости процессов безопасной разработки

• Building Security and Maturity Model (BSIMM) — методология оценки процессов безопасной разработки, определение текущего уровня зрелости и отправной точки для повышения уровня зрелости.

Денис Батранков
Автор: Денис Батранков
Советник по безопасности корпоративных сетей.
Комментарии: