Дмитрий Пономарев - Безопасная разработка, ФСТЭК, Анализ кода и Фаззинг | Безопасность в тапочках #1
Я - Илья Уразбахтин, эксперт и энтузиаст в области ИБ. Ты - тот, кому интересна тема информационной безопасности. Это - проект "Безопасность в тапочках" Здесь говорим со специалистами об информационных технологиях и их безопасности. О том, кем и как делается информационная безопасность в мире. Есть ли что-то особенное в отечественной ИБ и что значит делать безопасность по-русски? Обсуждаем серьёзные темы, но делаем это по домашнему, в тапочках) В первом выпуске мы с Дмитрием Пономаревым, евангелистом безопасной разработки, обсуждаем: Что такое SDL, кому он нужен и зачем? Почему безопасная разработка - это не только про безопасность? ⁃ Почему opensource может быть не безопасен, даже если это код Mozilla; ⁃ Теории заговора, HeartBleed и как он изменил мир; Почему AppSec-инженеров дефицит даже в Москве и где все таки их искать? ФСТЭК, статический анализ и фаззинг, почему российские компании не говорят об уязвимостях и многие другие темы. Видео-лекции по анализу ПО на уязвимости и безопасной разработке - Каналы по доверенной разработке: Динамика - Статика - Информ канал - ↓↓↓ ПОДПИСЫВАЙСЯ НА ПРОЕКТ: Telegram 🔥 Аудио-подкаст ► 0:00 О проекте "Безопасность в тапочках" 0:40 Как Дмитрий попал в ИБ 4:47 Что такое безопасная разработка и кому она нужна? 10:27 Безопасная разработка - это не только про безопасность; 17:53 Основные домены безопасной разработки 20:24 Про правильное моделирование архитектуры; 23:12 Про использование open-source, история про код Firefox 26:26 open-source - это же безопасно? 29:23 Теория про то, как появился HeartBleed; 38:05 Что такое статический анализ ? 44:01 Как жить с ложноположительными сработками анализаторов? 45:50 Про различия в движках стат. анализаторов и отечественный Svace, который используется в Samsung 57:40 Про уровни критичности результатов статического анализа 1:00:25 Что такое динамический анализ? 1:03:36 Что такое фаззинг-тестирование? 1:05:18 Про развитие фаззинга и AFL 1:13:26 Что необходимо фаззить? 1:19:40 Где брать специалистов по безопасной разработке и почему даже в Москве их дефицит. 1:24:40 Про курсы ФСТЭК, ИСП РАН и почему Дмитрий не хотел на них идти 1:34:34 Про инициативу совместного анализа open-source на ресурсах ИСП РАН (аналог OSS-FUZZ) 1:37:53 Про обнаружение уязвимостей и метрики качественного кода 1:41:38 Про аутсорсинг безопасной разработки; 1:43:28 про изменение подхода к сертификационных испытаниям 1:46:02 Как замотивировать команду заниматься безопасностью 1:51:32 Про сертификацию ФСТЭК и фундаментальные изменения в требованиях 1:53:31 Что гарантирует сертификат ФСТЭК 1:56:07 Кто помогает ФСТЭК? 1:57:38 Как компании помогают создавать требования безопасности 1:59:08 Безопасно ли переходить на отечественное ПО? 2:03:08 Почему во ФСТЭК БДУ мало уязвимостей отечественного ПО? 2:04:47 Про закладки в отечественном ПО 2:05:17 Блиц #Безопасностьвтапочках #cybertapochky #безопаснаяразработка #SDL #втапочках #security
