Upgrade to Pro — share decks privately, control downloads, hide ads and more …

И разработчик станет хакером!

oxdef
April 24, 2018
Programming
0
32

И разработчик станет хакером!

CISO Forum 2018

oxdef

April 24, 2018
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
93
Keynote at ZeroNights X (2021)
oxdef
0
60
Security Culture: Here be Hackers
oxdef
0
310
OWASP Top 10 - 2017 What’s inside?
oxdef
0
280
Implementing Content Security Policy at a Large Scale
oxdef
0
340
Security in developer’s life: knowledge is power
oxdef
0
210
HTTPS by default - no more clear
oxdef
0
20
Web Application Security: future standards and technologies
oxdef
0
210
Content Security Policy - the panacea for XSS or placebo?
oxdef
0
220

Other Decks in Programming

See All in Programming
Rcloneを使った定期的なストレージ同期
yuhta28
0
150
GDSC NYCU 2023 茶會
rabbitmagician1
1
290
CSS Subgridが遂に全ブラウザ対応。新時代のグリッドデザインを学ぼう
tonkotsuboy_com
5
6.3k
第2回 AWSとGitHub勉強会 - CodespacesとHelidonの利用 -
ogiwarat
0
160
RustでWasm Runtimeを書いた in WebAssembly night #11
skanehira
0
310
RDRA, ICONIX, DDDの実践から得た学び
hsawaji
5
810
あの時、Java から PHP へ / Converting from Java to PHP
kizuku_miyagi
2
140
WebViewと向き合う
mkeeda
1
160
Migrating From Spring Boot 2 To Spring Boot 3 - What's Jakarta EE Got To Do with It?
ivargrimstad
0
620
スキル差があるペア_モブプロで効果的な_ドライバーナビゲータ以外のロールの分け方.pdf
yatasunshine
1
220
[2023/09/15]ER図クエスト 過ぎ去りしドキュメントを求めて 〜複雑性に眠る秘宝〜
tosite
0
180
Jetpack Compose の Side-effect を使いこなす / DroidKaigi 2023
star_zero
2
810

Featured

See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
30k
Support Driven Design
roundedbygravity
91
9.2k
How STYLIGHT went responsive
nonsquared
89
4.4k
BBQ
matthewcrist
76
8.4k
Imperfection Machines: The Place of Print at Facebook
scottboms
257
12k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
10
1.2k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
500
130k
Unsuck your backbone
ammeep
660
56k
Thoughts on Productivity
jonyablonski
55
3.1k
Three Pipe Problems
jasonvnalue
89
9.2k
Designing for Performance
lara
601
66k
Stop Working from a Prison Cell
hatefulcrawdad
265
18k

Transcript

  1. И разработчик станет
    хакером!

    View Slide

  2. $ whoami

    Лидер российского отделения OWASP

    (yandex|google)://oxdef

    Продуктовая безопасность Mail.Ru

    View Slide

  3. Ответ безопасности на проблему
    ускоряющегося цикла разработки?

    View Slide

  4. View Slide

  5. Но...

    View Slide

  6. Писать безопасный код сразу лучше!

    View Slide

  7. Проблемы и вопросы

    Перестать отвечать на вопросы о типовых
    уязвимостях?

    Сделать так, чтобы разработчики были в
    курсе процессов и контролей ИБ?

    Сделать так, чтобы разработчики читали
    руководства по безопасности?

    Как измерить результат?

    View Slide

  8. Безопасность в жизни
    разработчика

    Собеседование

    Первый рабочий день

    Первые строки кода

    Первый аудит безопасности

    Первые уязвимости в коде...

    View Slide

  9. Собеседование

    Узнавайте о новых разработчиках

    Если используется HR-платформа, то
    добавьте вопросы по ИБ в неё

    Анализируйте результаты собеседования

    View Slide

  10. Первый рабочий день

    “Welcome”-встреча и небольшой рассказ о
    процессах и базовых рекомендациях ИБ

    Внутренний staff-портал c API

    Используйте это API для мониторинга новых
    разработчиков

    Автоматическое приветственное письмо

    View Slide

  11. Александр, добро пожаловать в нашу команду!
    В нашей Компании мы разрабатываем не только
    красивые, функциональные и быстрые сервисы, но и
    безопасные. Мы подготовили для тебя руководства по
    разработке безопасных приложений.
    Пожалуйста, найди пару минут для ознакомления с ними
    https://internal-portal/security-guides
    --
    С интересом, Команда ИБ

    View Slide

  12. Портал ИБ

    View Slide

  13. Внутренний портал ИБ

    Рукодства по безопасности

    Быстрые ссылки на сервисы самопроверки

    Форма для вопросов

    Последние посты с внутреннего блога ИБ

    Текущие проекты

    View Slide

  14. Обучение

    View Slide

  15. Структура

    Отдельные гайды для разработчиков веб,
    мобильных и C/C++ приложений

    От основ до типовых проблем и
    специфичных сценариев

    Используйте «карточки» для освещения
    сложных тем

    Встроенный опросник для самопроверки

    View Slide

  16. Содержание

    Высокоуровне: аутентифиция и авторизация,
    валидация входных даных, кодирование
    выходных, обработка ошибок

    Процессы, контроли и сервисы ИБ

    OWASP Top 10

    Специфичные внутренние сценарии

    View Slide

  17. Проверка знаний

    View Slide

  18. Курсы и опросники

    Как измерить, насколько хорошо читают
    гайды?

    Опросник не должен требовать много
    времени

    И он не должен быть скучным ;-)

    Используйте СПО, например Moodle или
    OWASP Security Knowledge Framework

    View Slide

  19. Карма

    View Slide

  20. Профиль разработчика

    Бейджи за ИБ активности

    Специальные флажки за чтение гайдов

    «Карма безопасности»

    Используйте эту информацию для
    прогнозирования безопасности релизов

    View Slide

  21. Метрики

    60% разработчиков ознакомилсь с
    руководствами за последний год

    Стало меньше вопросов о типовых
    уязвимостях

    Стало больше подписчиков обновлений
    внутреннего портала ИБ

    OpenSAMM

    View Slide

  22. Безопасность должна быть ближе к
    разработчикам.
    С первых рабочих дней и строк кода.

    View Slide

  23. View Slide

  24. Credits

    Kung Fury,
    www.kungfury.com
    Тарас Иващенко,
    [email protected]

    View Slide

  25. View Slide