Upgrade to Pro — share decks privately, control downloads, hide ads and more …

И разработчик станет хакером!

Avatar for oxdef oxdef
April 24, 2018
Programming
0
43

И разработчик станет хакером!

CISO Forum 2018
Avatar for oxdef

oxdef

April 24, 2018
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
Avatar for oxdef oxdef
0
200
Keynote at ZeroNights X (2021)
Avatar for oxdef oxdef
0
160
Security Culture: Here be Hackers
Avatar for oxdef oxdef
0
510
OWASP Top 10 - 2017 What’s inside?
Avatar for oxdef oxdef
0
570
Implementing Content Security Policy at a Large Scale
Avatar for oxdef oxdef
0
590
Security in developer’s life: knowledge is power
Avatar for oxdef oxdef
0
360
HTTPS by default - no more clear
Avatar for oxdef oxdef
0
32
Web Application Security: future standards and technologies
Avatar for oxdef oxdef
0
370
Content Security Policy - the panacea for XSS or placebo?
Avatar for oxdef oxdef
0
400

Other Decks in Programming

See All in Programming
C++20 射影変換
Avatar for Akira Takahashi faithandbrave
0
560
Blazing Fast UI Development with Compose Hot Reload (droidcon New York 2025)
Avatar for Márton Braun zsmb
1
270
すべてのコンテキストを、 ユーザー価値に変える
Avatar for Michiru Kato applism118
2
1.1k
CursorはMCPを使った方が良いぞ
Avatar for taiga taigakono
1
210
deno-redisの紹介とJSRパッケージの運用について (toranoana.deno #21)
Avatar for uki00a uki00a
0
170
#kanrk08 / 公開版 PicoRubyとマイコンでの自作トレーニング計測装置を用いたワークアウトの理想と現実
Avatar for bash0C7 bash0c7
1
660
LT 2025-06-30: プロダクトエンジニアの役割
Avatar for Keisuke Yamamoto yamamotok
0
660
Systèmes distribués, pour le meilleur et pour le pire - BreizhCamp 2025 - Conférence
Avatar for Sébastien LECACHEUR slecache
0
120
datadog dash 2025 LLM observability for reliability and stability
Avatar for 株式会社IVRy(社員登壇資料) ivry_presentationmaterials
0
420
GitHub Copilot and GitHub Codespaces Hands-on
Avatar for Kento.Yamada ymd65536
1
130
地方に住むエンジニアの残酷な現実とキャリア論
Avatar for nakamichi ichimichi
5
1.5k
Hypervel - A Coroutine Framework for Laravel Artisans
Avatar for Albert Chen albertcht
1
110

Featured

See All Featured
Docker and Python
Avatar for Tania Allard trallard
44
3.5k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
36
2.8k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.1k
It's Worth the Effort
Avatar for 3n 3n
185
28k

Transcript

  1. И разработчик станет хакером!

  2. $ whoami • Лидер российского отделения OWASP • (yandex|google)://oxdef •

    Продуктовая безопасность Mail.Ru

  3. Ответ безопасности на проблему ускоряющегося цикла разработки?

  4. None

  5. Но...

  6. Писать безопасный код сразу лучше!

  7. Проблемы и вопросы • Перестать отвечать на вопросы о типовых

    уязвимостях? • Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? • Сделать так, чтобы разработчики читали руководства по безопасности? • Как измерить результат?

  8. Безопасность в жизни разработчика • Собеседование • Первый рабочий день

    • Первые строки кода • Первый аудит безопасности • Первые уязвимости в коде...

  9. Собеседование • Узнавайте о новых разработчиках • Если используется HR-платформа,

    то добавьте вопросы по ИБ в неё • Анализируйте результаты собеседования

  10. Первый рабочий день • “Welcome”-встреча и небольшой рассказ о процессах

    и базовых рекомендациях ИБ • Внутренний staff-портал c API • Используйте это API для мониторинга новых разработчиков • Автоматическое приветственное письмо

  11. Александр, добро пожаловать в нашу команду! В нашей Компании мы

    разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ

  12. Портал ИБ

  13. Внутренний портал ИБ • Рукодства по безопасности • Быстрые ссылки

    на сервисы самопроверки • Форма для вопросов • Последние посты с внутреннего блога ИБ • Текущие проекты

  14. Обучение

  15. Структура • Отдельные гайды для разработчиков веб, мобильных и C/C++

    приложений • От основ до типовых проблем и специфичных сценариев • Используйте «карточки» для освещения сложных тем • Встроенный опросник для самопроверки

  16. Содержание • Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование

    выходных, обработка ошибок • Процессы, контроли и сервисы ИБ • OWASP Top 10 • Специфичные внутренние сценарии

  17. Проверка знаний

  18. Курсы и опросники • Как измерить, насколько хорошо читают гайды?

    • Опросник не должен требовать много времени • И он не должен быть скучным ;-) • Используйте СПО, например Moodle или OWASP Security Knowledge Framework

  19. Карма

  20. Профиль разработчика • Бейджи за ИБ активности • Специальные флажки

    за чтение гайдов • «Карма безопасности» • Используйте эту информацию для прогнозирования безопасности релизов

  21. Метрики • 60% разработчиков ознакомилсь с руководствами за последний год

    • Стало меньше вопросов о типовых уязвимостях • Стало больше подписчиков обновлений внутреннего портала ИБ • OpenSAMM

  22. Безопасность должна быть ближе к разработчикам. С первых рабочих дней

    и строк кода.
  23. None

  24. Credits • Kung Fury, www.kungfury.com Тарас Иващенко, [email protected]

  25. None