Upgrade to Pro — share decks privately, control downloads, hide ads and more …

И разработчик станет хакером!

oxdef
April 24, 2018
Programming
0
33

И разработчик станет хакером!

CISO Forum 2018

oxdef

April 24, 2018
Tweet

More Decks by oxdef

See All by oxdef
How to improve software security with OWASP open source initiatives
oxdef
0
130
Keynote at ZeroNights X (2021)
oxdef
0
94
Security Culture: Here be Hackers
oxdef
0
400
OWASP Top 10 - 2017 What’s inside?
oxdef
0
370
Implementing Content Security Policy at a Large Scale
oxdef
0
410
Security in developer’s life: knowledge is power
oxdef
0
270
HTTPS by default - no more clear
oxdef
0
26
Web Application Security: future standards and technologies
oxdef
0
270
Content Security Policy - the panacea for XSS or placebo?
oxdef
0
290

Other Decks in Programming

See All in Programming
はてなにおける CSS Modules、及び CSS Modules に足りないもの / CSS Modules in Hatena, and CSS Modules missing parts
mizdra
7
960
Goのmultiple errorsについて (2024年4月版)
syumai
4
1.1k
CDKコントリビュートの最初の壁を越えよう! -簡単issueの見つけ方-
badmintoncryer
2
150
What We Can Learn From OSS
inouehi
0
430
"config" ってなんだ? / What is "config"?
okashoi
0
240
Deep Dive into React Stream/Serialize
mugi_uno
0
160
二郎系ラーメンのコールで学ぶ AST 解析
memory1994
PRO
7
1.7k
Behind VS Code Extensions for JavaScript / TypeScript Linnting and Formatting
unvalley
5
1.1k
dbtのドメイン分割による データ基盤の改善とDigdagとの連携
sakama
0
400
2 週間で Twitter Bot を作ってみた
contour_gara
0
710
敵対的ポイフル
futabato
0
110
try! Swift Tokyo 2024 参加報告 / try! Swift Tokyo 2024 Report
hironytic
0
210

Featured

See All Featured
From Idea to $5000 a Month in 5 Months
shpigford
378
45k
Building Adaptive Systems
keathley
32
1.9k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
12
8.3k
Designing for Performance
lara
602
67k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
Web Components: a chance to create the future
zenorocha
306
41k
Why Our Code Smells
bkeepers
PRO
331
56k
Designing with Data
zakiwarfel
96
4.8k
Faster Mobile Websites
deanohume
300
30k
KATA
mclloyd
16
12k
Side Projects
sachag
451
41k

Transcript

  1. И разработчик станет хакером!

  2. $ whoami • Лидер российского отделения OWASP • (yandex|google)://oxdef •

    Продуктовая безопасность Mail.Ru

  3. Ответ безопасности на проблему ускоряющегося цикла разработки?

  4. None

  5. Но...

  6. Писать безопасный код сразу лучше!

  7. Проблемы и вопросы • Перестать отвечать на вопросы о типовых

    уязвимостях? • Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? • Сделать так, чтобы разработчики читали руководства по безопасности? • Как измерить результат?

  8. Безопасность в жизни разработчика • Собеседование • Первый рабочий день

    • Первые строки кода • Первый аудит безопасности • Первые уязвимости в коде...

  9. Собеседование • Узнавайте о новых разработчиках • Если используется HR-платформа,

    то добавьте вопросы по ИБ в неё • Анализируйте результаты собеседования

  10. Первый рабочий день • “Welcome”-встреча и небольшой рассказ о процессах

    и базовых рекомендациях ИБ • Внутренний staff-портал c API • Используйте это API для мониторинга новых разработчиков • Автоматическое приветственное письмо

  11. Александр, добро пожаловать в нашу команду! В нашей Компании мы

    разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ

  12. Портал ИБ

  13. Внутренний портал ИБ • Рукодства по безопасности • Быстрые ссылки

    на сервисы самопроверки • Форма для вопросов • Последние посты с внутреннего блога ИБ • Текущие проекты

  14. Обучение

  15. Структура • Отдельные гайды для разработчиков веб, мобильных и C/C++

    приложений • От основ до типовых проблем и специфичных сценариев • Используйте «карточки» для освещения сложных тем • Встроенный опросник для самопроверки

  16. Содержание • Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование

    выходных, обработка ошибок • Процессы, контроли и сервисы ИБ • OWASP Top 10 • Специфичные внутренние сценарии

  17. Проверка знаний

  18. Курсы и опросники • Как измерить, насколько хорошо читают гайды?

    • Опросник не должен требовать много времени • И он не должен быть скучным ;-) • Используйте СПО, например Moodle или OWASP Security Knowledge Framework

  19. Карма

  20. Профиль разработчика • Бейджи за ИБ активности • Специальные флажки

    за чтение гайдов • «Карма безопасности» • Используйте эту информацию для прогнозирования безопасности релизов

  21. Метрики • 60% разработчиков ознакомилсь с руководствами за последний год

    • Стало меньше вопросов о типовых уязвимостях • Стало больше подписчиков обновлений внутреннего портала ИБ • OpenSAMM

  22. Безопасность должна быть ближе к разработчикам. С первых рабочих дней

    и строк кода.
  23. None

  24. Credits • Kung Fury, www.kungfury.com Тарас Иващенко, [email protected]

  25. None