Upgrade to Pro — share decks privately, control downloads, hide ads and more …

И разработчик станет хакером!

oxdef
April 24, 2018
Programming
0
28

И разработчик станет хакером!

CISO Forum 2018

oxdef

April 24, 2018
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
75
Keynote at ZeroNights X (2021)
oxdef
0
39
Security Culture: Here be Hackers
oxdef
0
290
OWASP Top 10 - 2017 What’s inside?
oxdef
0
250
Implementing Content Security Policy at a Large Scale
oxdef
0
310
Security in developer’s life: knowledge is power
oxdef
0
180
HTTPS by default - no more clear
oxdef
0
12
Web Application Security: future standards and technologies
oxdef
0
200
Content Security Policy - the panacea for XSS or placebo?
oxdef
0
190

Other Decks in Programming

See All in Programming
kotlin-resultを用いて鉄道志向なエラーハンドリングを試みる
blackbracken
1
160
SREは何を目指すのか
paper2
5
1.3k
PHP8によるデザインパターン入門 / Introduction to Design Patterns with PHP8
fendo181
1
210
Multiprocess PHP Containers with S6 Overlay - ConFoo 2023
johanjanssens
0
160
Blazor WASMのアプリをMAUI Blazorに移行してみる
tomokusaba
0
140
AWS移行を通して得られた知見と教訓
mthiroshi00excite
0
260
DevToolsではじめる簡単Nostrプロトコル (Nostr勉強会 #0)
heguro
0
160
Microsoft プレゼンター+の紹介
tomokusaba
0
130
年間版1秒動画2023 大量配信の裏側 - MIXI TECH CONFERENCE 2023 DAY1
haman29
2
710
全ブラウザ対応したcontainer queryは何がスゴイのか?
tonkotsuboy_com
11
11k
nekoIoTLT_CatAndColorSensor
nearmugi
0
570
サバンナ便り〜自動テストに関する連載で得られた知見のまとめ〜
twada
PRO
12
2.3k

Featured

See All Featured
Done Done
chrislema
178
15k
The Brand Is Dead. Long Live the Brand.
mthomps
48
3k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
The Pragmatic Product Professional
lauravandoore
21
3.6k
Pencils Down: Stop Designing & Start Developing
hursman
114
10k
Adopting Sorbet at Scale
ufuk
65
7.9k
Debugging Ruby Performance
tmm1
67
11k
How GitHub (no longer) Works
holman
299
140k
For a Future-Friendly Web
brad_frost
166
7.9k
Code Reviewing Like a Champion
maltzj
508
38k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
217
21k
Building Better People: How to give real-time feedback that sticks.
wjessup
346
17k

Transcript

  1. И разработчик станет
    хакером!

    View Slide

  2. $ whoami

    Лидер российского отделения OWASP

    (yandex|google)://oxdef

    Продуктовая безопасность Mail.Ru

    View Slide

  3. Ответ безопасности на проблему
    ускоряющегося цикла разработки?

    View Slide

  4. View Slide

  5. Но...

    View Slide

  6. Писать безопасный код сразу лучше!

    View Slide

  7. Проблемы и вопросы

    Перестать отвечать на вопросы о типовых
    уязвимостях?

    Сделать так, чтобы разработчики были в
    курсе процессов и контролей ИБ?

    Сделать так, чтобы разработчики читали
    руководства по безопасности?

    Как измерить результат?

    View Slide

  8. Безопасность в жизни
    разработчика

    Собеседование

    Первый рабочий день

    Первые строки кода

    Первый аудит безопасности

    Первые уязвимости в коде...

    View Slide

  9. Собеседование

    Узнавайте о новых разработчиках

    Если используется HR-платформа, то
    добавьте вопросы по ИБ в неё

    Анализируйте результаты собеседования

    View Slide

  10. Первый рабочий день

    “Welcome”-встреча и небольшой рассказ о
    процессах и базовых рекомендациях ИБ

    Внутренний staff-портал c API

    Используйте это API для мониторинга новых
    разработчиков

    Автоматическое приветственное письмо

    View Slide

  11. Александр, добро пожаловать в нашу команду!
    В нашей Компании мы разрабатываем не только
    красивые, функциональные и быстрые сервисы, но и
    безопасные. Мы подготовили для тебя руководства по
    разработке безопасных приложений.
    Пожалуйста, найди пару минут для ознакомления с ними
    https://internal-portal/security-guides
    --
    С интересом, Команда ИБ

    View Slide

  12. Портал ИБ

    View Slide

  13. Внутренний портал ИБ

    Рукодства по безопасности

    Быстрые ссылки на сервисы самопроверки

    Форма для вопросов

    Последние посты с внутреннего блога ИБ

    Текущие проекты

    View Slide

  14. Обучение

    View Slide

  15. Структура

    Отдельные гайды для разработчиков веб,
    мобильных и C/C++ приложений

    От основ до типовых проблем и
    специфичных сценариев

    Используйте «карточки» для освещения
    сложных тем

    Встроенный опросник для самопроверки

    View Slide

  16. Содержание

    Высокоуровне: аутентифиция и авторизация,
    валидация входных даных, кодирование
    выходных, обработка ошибок

    Процессы, контроли и сервисы ИБ

    OWASP Top 10

    Специфичные внутренние сценарии

    View Slide

  17. Проверка знаний

    View Slide

  18. Курсы и опросники

    Как измерить, насколько хорошо читают
    гайды?

    Опросник не должен требовать много
    времени

    И он не должен быть скучным ;-)

    Используйте СПО, например Moodle или
    OWASP Security Knowledge Framework

    View Slide

  19. Карма

    View Slide

  20. Профиль разработчика

    Бейджи за ИБ активности

    Специальные флажки за чтение гайдов

    «Карма безопасности»

    Используйте эту информацию для
    прогнозирования безопасности релизов

    View Slide

  21. Метрики

    60% разработчиков ознакомилсь с
    руководствами за последний год

    Стало меньше вопросов о типовых
    уязвимостях

    Стало больше подписчиков обновлений
    внутреннего портала ИБ

    OpenSAMM

    View Slide

  22. Безопасность должна быть ближе к
    разработчикам.
    С первых рабочих дней и строк кода.

    View Slide

  23. View Slide

  24. Credits

    Kung Fury,
    www.kungfury.com
    Тарас Иващенко,
    [email protected]

    View Slide

  25. View Slide