И разработчик станет хакером!

Transcript

1. И разработчик станет хакером!

2. $ whoami • Лидер российского отделения OWASP • (yandex|google)://oxdef •

   Продуктовая безопасность Mail.Ru

3. Ответ безопасности на проблему ускоряющегося цикла разработки?

4. None

5. Но...

6. Писать безопасный код сразу лучше!

7. Проблемы и вопросы • Перестать отвечать на вопросы о типовых

   уязвимостях? • Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? • Сделать так, чтобы разработчики читали руководства по безопасности? • Как измерить результат?

8. Безопасность в жизни разработчика • Собеседование • Первый рабочий день

   • Первые строки кода • Первый аудит безопасности • Первые уязвимости в коде...

9. Собеседование • Узнавайте о новых разработчиках • Если используется HR-платформа,

   то добавьте вопросы по ИБ в неё • Анализируйте результаты собеседования

10. Первый рабочий день • “Welcome”-встреча и небольшой рассказ о процессах

    и базовых рекомендациях ИБ • Внутренний staff-портал c API • Используйте это API для мониторинга новых разработчиков • Автоматическое приветственное письмо

11. Александр, добро пожаловать в нашу команду! В нашей Компании мы

    разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ

12. Портал ИБ

13. Внутренний портал ИБ • Рукодства по безопасности • Быстрые ссылки

    на сервисы самопроверки • Форма для вопросов • Последние посты с внутреннего блога ИБ • Текущие проекты

14. Обучение

15. Структура • Отдельные гайды для разработчиков веб, мобильных и C/C++

    приложений • От основ до типовых проблем и специфичных сценариев • Используйте «карточки» для освещения сложных тем • Встроенный опросник для самопроверки

16. Содержание • Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование

    выходных, обработка ошибок • Процессы, контроли и сервисы ИБ • OWASP Top 10 • Специфичные внутренние сценарии

17. Проверка знаний

18. Курсы и опросники • Как измерить, насколько хорошо читают гайды?

    • Опросник не должен требовать много времени • И он не должен быть скучным ;-) • Используйте СПО, например Moodle или OWASP Security Knowledge Framework

19. Карма

20. Профиль разработчика • Бейджи за ИБ активности • Специальные флажки

    за чтение гайдов • «Карма безопасности» • Используйте эту информацию для прогнозирования безопасности релизов

21. Метрики • 60% разработчиков ознакомилсь с руководствами за последний год

    • Стало меньше вопросов о типовых уязвимостях • Стало больше подписчиков обновлений внутреннего портала ИБ • OpenSAMM

22. Безопасность должна быть ближе к разработчикам. С первых рабочих дней

    и строк кода.
23. None

24. Credits • Kung Fury, www.kungfury.com Тарас Иващенко, oxdef@oxdef.info

25. None