ВСЕ ПО ИБ | Разработчик VS Безопасник — как построить дом

В этом эпизоде подкаста Сергей Зайцев — Руководитель группы разработки в крупной IT-компании и Владимир Ченцов — Руководитель департамента комплексного аудита ИБ и безопасной разработки «Бастион» обсудят тему взаимодействия разработчика и безопасника на всех этапах разработки ПО. Эксперты обсудят этапы жизненного цикла DevSecOps, ограничения на использование компонентов разработки, как это выгодно бизнесу и что делать дальше.

0:00 Начало
1:08 О чем сегодняшний выпуск
2:04 Что такое разработка?
4:36 Первая реакция разработчика на утечку информации
6:30 Когда нужно задумываться о безопасности?
9:01 База данных с критической уязвимостью
10:20 Вопрос выбора компонентов разработки с точки зрения безопасности
14:35 Безопасность — вопрос диалога
18:30 Баги в разработке
26:41 Сканер нашёл 5000 уязвимостей
32:36 Проектная документация
36:50 Какие уязвимости закрывать в первую очередь?
39:17 Как безопаснику договариваться с разработчиком?
43:51 Слив через внутренних пользователей
50:50 Ограничено всё, кроме того, что разрешено
54:38 Секреты и разработчик
1:00:30 А что с Time To Market?
1:04:30 Может ли команда безопасности сделать свою работу без разработчиков?
1:06:15 Длительность внедрения безопасность разработки
1:11:17 Что будет дороже: принять риски или внедрить безопасную разработку?
1:15:22 Как убедиться, что подрядчик закрывает риски?
1:19:02 Насколько важно разработчику знать, каким образом будет проиходить анализ исходного кода
1:25:40 Резюмируем