А вообще, у меня для вас есть как минимум 2 новости, которые я совсем скоро буду готова зарелизить рассказать!..
Надеюсь, что уже до конца этой недели я смогу хотя бы чуть-чуть приоткрыть карты🃏, а пока, предлагаю вам порефлексировать - нет ли ощущения, что категорически не хватает специализированной профильной конференции по Application Security?😉
Надеюсь, что уже до конца этой недели я смогу хотя бы чуть-чуть приоткрыть карты🃏, а пока, предлагаю вам порефлексировать - нет ли ощущения, что категорически не хватает специализированной профильной конференции по Application Security?😉
👍16❤3⚡1👎1😁1🐳1
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Да! Сегодня #мемнаясреда опять из моего видеоряда🤡
Используйте эти пару минут, чтобы отдохнуть и погиенить с жизненных ситуаций!
Используйте эти пару минут, чтобы отдохнуть и погиенить с жизненных ситуаций!
😁15❤3⚡1🔥1
Киса снова выпускает полезности!😺
Еще в сентябре ребята выложили кое-что классное, а именно роадмап развития в части обеспечения безопасности open source. Выглядит, ну мягко говоря, реально как просто роадмап - перечень того, что надо бы сделать. Однако, как же хорошо это ложится в общую канву безопасной разработки, прям бери по пунктам и добавляй! Естественно, считайте, что делать вам это будет не CISA, а вы сами😉
#supplychain
Еще в сентябре ребята выложили кое-что классное, а именно роадмап развития в части обеспечения безопасности open source. Выглядит, ну мягко говоря, реально как просто роадмап - перечень того, что надо бы сделать. Однако, как же хорошо это ложится в общую канву безопасной разработки, прям бери по пунктам и добавляй! Естественно, считайте, что делать вам это будет не CISA, а вы сами😉
#supplychain
❤9⚡1
Раз уж я и про цепочки поставок, и про моделирование угроз на этой неделе разболталась - ловите! Анализ рисков для #supplychain.
Если вы начинаете защищать ваш конвейер - давайте начнем по порядку😊
Если вы начинаете защищать ваш конвейер - давайте начнем по порядку😊
GitHub
GitHub - SAP/risk-explorer-for-software-supply-chains: A taxonomy of attacks on software supply chains in the form of an attack…
A taxonomy of attacks on software supply chains in the form of an attack tree, based on and linked to numerous real-world incidents and other resources. The taxonomy as well as related safeguards c...
👍6❤🔥1⚡1
Сегодня вечером буду рассказывать всякие похабные полезные вещи про процессы DevSecOps вот тут!
Кажется, очно прийти уже не получится, а вот посмотреть трансляцию возможность есть🫶
Кажется, очно прийти уже не получится, а вот посмотреть трансляцию возможность есть🫶
rshbdigital.ru
RSHB DevSecOps Meetup
Митап по безопасной разработке
🔥10⚡1❤🔥1👍1
Уф, какая прикольная штука! Куча ссылочек на полезные материалы по моделированию угроз, статическому анализу, динамике, управлению зависимостями... В общем - гитхаб с гитхабами:)
В принципе, нет смысла смотреть а что там про Snyk написано или про gosec, но посмотреть лабы purpleteam'а и threat mapper'ы - надо!
В принципе, нет смысла смотреть а что там про Snyk написано или про gosec, но посмотреть лабы purpleteam'а и threat mapper'ы - надо!
GitHub
DevSecOps/README.md at master · sottlmarek/DevSecOps
Ultimate DevSecOps library. Contribute to sottlmarek/DevSecOps development by creating an account on GitHub.
🔥8❤5⚡1❤🔥1👍1
Ну что, кажется пора рассказать об одной своей активности!
Вы ведь видели у меня ссылочки на подкасты на каком-то SafeCode?...
Так вот, это конференция по безопасности приложений, которую готовят замечательные Джуги, а вместе с ними и я и не только:)) Это будет полноценная конфа, посвященная именно Application Security - не просто трек, не просто подкасты, а прям целая конференция. Звучит заши бись, по-моему🔥
Ну и на сладкое, открываем Call for Papers! Я в программном комитете, поэтому обещаю ревьюить ваши подачи, а в случае, если все сложится - помогу выступить с прекрасным материалом😉
Welcome and enjoy!
P.S. Если вы не нашли тему, на которую хотите сделать доклад - все равно подавайтесь, разберемся:) Главное, чтобы это касалось безопасности приложенек!
Вы ведь видели у меня ссылочки на подкасты на каком-то SafeCode?...
Так вот, это конференция по безопасности приложений, которую готовят замечательные Джуги, а вместе с ними и я и не только:)) Это будет полноценная конфа, посвященная именно Application Security - не просто трек, не просто подкасты, а прям целая конференция. Звучит за
Ну и на сладкое, открываем Call for Papers! Я в программном комитете, поэтому обещаю ревьюить ваши подачи, а в случае, если все сложится - помогу выступить с прекрасным материалом😉
Welcome and enjoy!
P.S. Если вы не нашли тему, на которую хотите сделать доклад - все равно подавайтесь, разберемся:) Главное, чтобы это касалось безопасности приложенек!
❤14👍2⚡1❤🔥1👌1
Недавно готовила материал, в котором затронула тему зарождения DevSecOps'а - ну, само собой не обошла добрым словом и DevOps. Вкратце, DevOps'у пришлось появиться, потому что рынок диктовал свои условия. Надо быстро, надо качественно. А еще и доставка теперь не как раньше, а в облака☁️!
А потом и нужно еще быстрее и еще качественнее. И вот, чтобы этим управлять появился его величество Кубернетес. Я тут часто кидаю материалы, которые и с контейнерной безопасностью арбайтен очень даже. Но захотелось закинуть пару базовых советов, как сделать не только быстро и качественно, но еще и безопасно:)
- Сканируйте image'и на наличие уязвимостей (хотя бы просто иногда, если нет возможности регулярно)
- Никогда ничего нельзя запускать под root'ом!
- Принцип минимальных привилегий - любить, внедрить.
- На пути к 0-Trust включите mtls.
- Секреты - они на то и секреты, чтобы никому не говорить.
- Проработайте вопрос внесения изменений. Это правда понадобиться.
- Метрики - это потрясающе, но observability - основа.
- Что вошло и что вышло? Контролируйте трафик.
А если что-то захотелось почитать - то статейка Cloudian )
А потом и нужно еще быстрее и еще качественнее. И вот, чтобы этим управлять появился его величество Кубернетес. Я тут часто кидаю материалы, которые и с контейнерной безопасностью арбайтен очень даже. Но захотелось закинуть пару базовых советов, как сделать не только быстро и качественно, но еще и безопасно:)
- Сканируйте image'и на наличие уязвимостей (хотя бы просто иногда, если нет возможности регулярно)
- Никогда ничего нельзя запускать под root'ом!
- Принцип минимальных привилегий - любить, внедрить.
- На пути к 0-Trust включите mtls.
- Секреты - они на то и секреты, чтобы никому не говорить.
- Проработайте вопрос внесения изменений. Это правда понадобиться.
- Метрики - это потрясающе, но observability - основа.
- Что вошло и что вышло? Контролируйте трафик.
А если что-то захотелось почитать - то статейка Cloudian )
Cloudian
Kubernetes Security: The Complete Guide - Cloudian
Learn about Kubernetes security concepts, key considerations for securing Kubernetes in production, and practical best practices.
👍8❤5⚡1❤🔥1🔥1
Пришел ноябрь, а вместе с ним и #мемнаясреда! Я, например, очень люблю зиму, поэтому не переживаю по поводу погоды - а если бы и переживала, то просто бы чекала смешные картиночки🫶
😁20❤6👍3🔥3⚡1
OWASP Code Review Guide.pdf
2.3 MB
На самом деле, я не все ресурсы OWASP'а люблю, но сильно открыто не комментирую в негативном ключе - потому что, если хаять, то что-то предлагай или не контрибьютишь - не выпендри вайся.
Но вот этот гайд мне нравится. Там и контрольные чеклисты ревью, и примеры моделирования угроз, и dos&don'ts для процесса код-ревью. Ну однозначно забрать!
#guides
Но вот этот гайд мне нравится. Там и контрольные чеклисты ревью, и примеры моделирования угроз, и dos&don'ts для процесса код-ревью. Ну однозначно забрать!
#guides
🔥9👍3⚡2❤🔥1
Казалось бы, причем тут джинсы с ширинкой сзади?
Но как еще доступно рассказывать, что такое API и почему его, бедолагу, надо защищать? Помимо аналогии со штанами, API еще красиво описывают в виде дорог, а запросы - в виде машинок🚗*
Представьте, как дофига у вас может быть разных приложений и с каким "дофига" они могут взаимодействовать? По-моему, вектор угрозы актуальный. Если нет идей с чего начинать - вам придется сделать карту приложений и их API. Сложно защищать то, что не видно😉
Еще факт: приложения у вас разные, и API могут работать по-разному. Если я понимаю, как защитить свои приложения - ваши работают иначе, поэтому надо определить, как реализовать атаки с помощью API и разработать механизмы защиты.
Для управления безопасностью API, нужно отслеживать все прилоги и куда-то складывать поведенческую аналитику запросов, чтобы ее можно было использовать для определения угроз и векторов атак. Инструментам должен помогать кожаный, не так ли?:)
Поэтому запустим полноценный цикл постов, чтобы прокачать #apisecurity. Так что следующие недели будут трибьютом безопасности апишек.
*Пример с дорогами не так поэтичен, как джинсы😉
Но как еще доступно рассказывать, что такое API и почему его, бедолагу, надо защищать? Помимо аналогии со штанами, API еще красиво описывают в виде дорог, а запросы - в виде машинок🚗*
Представьте, как дофига у вас может быть разных приложений и с каким "дофига" они могут взаимодействовать? По-моему, вектор угрозы актуальный. Если нет идей с чего начинать - вам придется сделать карту приложений и их API. Сложно защищать то, что не видно😉
Еще факт: приложения у вас разные, и API могут работать по-разному. Если я понимаю, как защитить свои приложения - ваши работают иначе, поэтому надо определить, как реализовать атаки с помощью API и разработать механизмы защиты.
Для управления безопасностью API, нужно отслеживать все прилоги и куда-то складывать поведенческую аналитику запросов, чтобы ее можно было использовать для определения угроз и векторов атак. Инструментам должен помогать кожаный, не так ли?:)
Поэтому запустим полноценный цикл постов, чтобы прокачать #apisecurity. Так что следующие недели будут трибьютом безопасности апишек.
*
🔥19😁5👍4❤🔥3