Upgrade to Pro — share decks privately, control downloads, hide ads and more …

И разработчик станет хакером!

Avatar for oxdef oxdef
April 24, 2018
Programming
0
43

И разработчик станет хакером!

CISO Forum 2018

Avatar for oxdef

oxdef

April 24, 2018
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
Avatar for oxdef oxdef
0
210
Keynote at ZeroNights X (2021)
Avatar for oxdef oxdef
0
170
Security Culture: Here be Hackers
Avatar for oxdef oxdef
0
520
OWASP Top 10 - 2017 What’s inside?
Avatar for oxdef oxdef
0
580
Implementing Content Security Policy at a Large Scale
Avatar for oxdef oxdef
0
600
Security in developer’s life: knowledge is power
Avatar for oxdef oxdef
0
370
HTTPS by default - no more clear
Avatar for oxdef oxdef
0
32
Web Application Security: future standards and technologies
Avatar for oxdef oxdef
0
370
Content Security Policy - the panacea for XSS or placebo?
Avatar for oxdef oxdef
0
400

Other Decks in Programming

See All in Programming
The Niche of CDK Grant オブジェクトって何者?/the-niche-of-cdk-what-isgrant-object
Avatar for hassaku63 hassaku63
1
710
フロントエンドのパフォーマンスチューニング
Avatar for kouki.miura koukimiura
6
2.3k
Google I/O Extended Incheon 2025 ~ What's new in Android development tools
Avatar for pluulove (노현석) pluu
1
200
構造化・自動化・ガードレール - Vibe Coding実践記 -
Avatar for ふくすけ tonegawa07
0
150
Claude Code派?Gemini CLI派? みんなで比較LT会!_20250716
Avatar for じゅん junholee
1
740
Gemini CLI のはじめ方
Avatar for ttnyt8701 ttnyt8701
1
110
階層化自動テストで開発に機動力を
Avatar for ICKX ickx
1
430
MCPで実現できる、Webサービス利用体験について
Avatar for syumai syumai
7
2.1k
JetBrainsのAI機能の紹介 #jjug
Avatar for yusuke yusuke
0
110
リッチエディターを安全に開発・運用するために
Avatar for una unachang113
1
270
Prompt Engineeringの再定義「Context Engineering」とは
Avatar for ツルオカ htsuruo
0
110
「次に何を学べばいいか分からない」あなたへ──若手エンジニアのための学習地図
Avatar for panda_program panda_program
3
660

Featured

See All Featured
BBQ
Avatar for Matthew Crist matthewcrist
89
9.8k
Easily Structure & Communicate Ideas using Wireframe
Avatar for Afnizar Nur Ghifari afnizarnur
194
16k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.7k
Designing for humans not robots
Avatar for Tammie Lister tammielis
253
25k
Automating Front-end Workflow
Avatar for Addy Osmani addyosmani
1370
200k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
21
1.4k
Faster Mobile Websites
Avatar for Dean Hume deanohume
308
31k
Agile that works and the tools we love
Avatar for Rasmus Luckow-Nielsen rasmusluckow
329
21k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.8k

Transcript

  1. И разработчик станет хакером!

  2. $ whoami • Лидер российского отделения OWASP • (yandex|google)://oxdef •

    Продуктовая безопасность Mail.Ru

  3. Ответ безопасности на проблему ускоряющегося цикла разработки?

  4. None

  5. Но...

  6. Писать безопасный код сразу лучше!

  7. Проблемы и вопросы • Перестать отвечать на вопросы о типовых

    уязвимостях? • Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? • Сделать так, чтобы разработчики читали руководства по безопасности? • Как измерить результат?

  8. Безопасность в жизни разработчика • Собеседование • Первый рабочий день

    • Первые строки кода • Первый аудит безопасности • Первые уязвимости в коде...

  9. Собеседование • Узнавайте о новых разработчиках • Если используется HR-платформа,

    то добавьте вопросы по ИБ в неё • Анализируйте результаты собеседования

  10. Первый рабочий день • “Welcome”-встреча и небольшой рассказ о процессах

    и базовых рекомендациях ИБ • Внутренний staff-портал c API • Используйте это API для мониторинга новых разработчиков • Автоматическое приветственное письмо

  11. Александр, добро пожаловать в нашу команду! В нашей Компании мы

    разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ

  12. Портал ИБ

  13. Внутренний портал ИБ • Рукодства по безопасности • Быстрые ссылки

    на сервисы самопроверки • Форма для вопросов • Последние посты с внутреннего блога ИБ • Текущие проекты

  14. Обучение

  15. Структура • Отдельные гайды для разработчиков веб, мобильных и C/C++

    приложений • От основ до типовых проблем и специфичных сценариев • Используйте «карточки» для освещения сложных тем • Встроенный опросник для самопроверки

  16. Содержание • Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование

    выходных, обработка ошибок • Процессы, контроли и сервисы ИБ • OWASP Top 10 • Специфичные внутренние сценарии

  17. Проверка знаний

  18. Курсы и опросники • Как измерить, насколько хорошо читают гайды?

    • Опросник не должен требовать много времени • И он не должен быть скучным ;-) • Используйте СПО, например Moodle или OWASP Security Knowledge Framework

  19. Карма

  20. Профиль разработчика • Бейджи за ИБ активности • Специальные флажки

    за чтение гайдов • «Карма безопасности» • Используйте эту информацию для прогнозирования безопасности релизов

  21. Метрики • 60% разработчиков ознакомилсь с руководствами за последний год

    • Стало меньше вопросов о типовых уязвимостях • Стало больше подписчиков обновлений внутреннего портала ИБ • OpenSAMM

  22. Безопасность должна быть ближе к разработчикам. С первых рабочих дней

    и строк кода.
  23. None

  24. Credits • Kung Fury, www.kungfury.com Тарас Иващенко, [email protected]

  25. None