И разработчик станет хакером!

Slide 1

Slide 1 text

Slide 2

Slide 2 text

$ whoami ● Лидер российского отделения OWASP ● (yandex|google)://oxdef ● Продуктовая безопасность Mail.Ru

Slide 3

Slide 3 text

Ответ безопасности на проблему ускоряющегося цикла разработки?

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

Но...

Slide 6

Slide 6 text

Писать безопасный код сразу лучше!

Slide 7

Slide 7 text

Проблемы и вопросы ● Перестать отвечать на вопросы о типовых уязвимостях? ● Сделать так, чтобы разработчики были в курсе процессов и контролей ИБ? ● Сделать так, чтобы разработчики читали руководства по безопасности? ● Как измерить результат?

Slide 8

Slide 8 text

Безопасность в жизни разработчика ● Собеседование ● Первый рабочий день ● Первые строки кода ● Первый аудит безопасности ● Первые уязвимости в коде...

Slide 9

Slide 9 text

Собеседование ● Узнавайте о новых разработчиках ● Если используется HR-платформа, то добавьте вопросы по ИБ в неё ● Анализируйте результаты собеседования

Slide 10

Slide 10 text

Первый рабочий день ● “Welcome”-встреча и небольшой рассказ о процессах и базовых рекомендациях ИБ ● Внутренний staff-портал c API ● Используйте это API для мониторинга новых разработчиков ● Автоматическое приветственное письмо

Slide 11

Slide 11 text

Александр, добро пожаловать в нашу команду! В нашей Компании мы разрабатываем не только красивые, функциональные и быстрые сервисы, но и безопасные. Мы подготовили для тебя руководства по разработке безопасных приложений. Пожалуйста, найди пару минут для ознакомления с ними https://internal-portal/security-guides -- С интересом, Команда ИБ

Slide 12

Slide 12 text

Портал ИБ

Slide 13

Slide 13 text

Внутренний портал ИБ ● Рукодства по безопасности ● Быстрые ссылки на сервисы самопроверки ● Форма для вопросов ● Последние посты с внутреннего блога ИБ ● Текущие проекты

Slide 14

Slide 14 text

Обучение

Slide 15

Slide 15 text

Структура ● Отдельные гайды для разработчиков веб, мобильных и C/C++ приложений ● От основ до типовых проблем и специфичных сценариев ● Используйте «карточки» для освещения сложных тем ● Встроенный опросник для самопроверки

Slide 16

Slide 16 text

Содержание ● Высокоуровне: аутентифиция и авторизация, валидация входных даных, кодирование выходных, обработка ошибок ● Процессы, контроли и сервисы ИБ ● OWASP Top 10 ● Специфичные внутренние сценарии

Slide 17

Slide 17 text

Проверка знаний

Slide 18

Slide 18 text

Курсы и опросники ● Как измерить, насколько хорошо читают гайды? ● Опросник не должен требовать много времени ● И он не должен быть скучным ;-) ● Используйте СПО, например Moodle или OWASP Security Knowledge Framework

Slide 19

Slide 19 text

Карма

Slide 20

Slide 20 text

Профиль разработчика ● Бейджи за ИБ активности ● Специальные флажки за чтение гайдов ● «Карма безопасности» ● Используйте эту информацию для прогнозирования безопасности релизов

Slide 21

Slide 21 text

Метрики ● 60% разработчиков ознакомилсь с руководствами за последний год ● Стало меньше вопросов о типовых уязвимостях ● Стало больше подписчиков обновлений внутреннего портала ИБ ● OpenSAMM

Slide 22

Slide 22 text

Безопасность должна быть ближе к разработчикам. С первых рабочих дней и строк кода.

Slide 23

Slide 23 text

No content

Slide 24

Slide 24 text

Credits ● Kung Fury, www.kungfury.com Тарас Иващенко, oxdef@oxdef.info

Slide 25

Slide 25 text

No content