Безопасность разработки - анализ кода, devsecops, sdlc и дружба с безопасником!

Безопасность разработки - анализ кода, devsecops, sdlc и дружба с безопасником ❗ 🎫 Для аудита безопасности своего сайта или веб-приложения оставь заявку на сайте 👉 ✅ Можно было бы назвать это видео SDLC, secdevops, devsecops и много других страшных слов для безопасности разработки. А отрекламировать анализатор кода и сканер уязвимостей. Но мы не такие! 😃 Много компаний занимаются разработкой, но очень мало занимаются безопасной разработкой ПО. А проблема здесь в том, что даже при наличии современных инструментов разработки дыры в ПО (программном обеспечении) будут всегда 🤷‍♂️ Это уязвимости, которые регулярно публикуются в Интернет (см. ). Анализ кода (точнее анализатор исходного кода) помогает выявлять “дыры“ в очередном релизе, а сканер уязвимостей (анализатор уязвимостей) позволяет закрыть узкие места уже в продакшене. 🕵 Применяемые подходы к разработке (SDLC) были дополнены концепцией “безопасная разработка“ , основная цель которой сделать неуязвимое приложение. Желание похвальное, но нереализуемое: либо деньги, либо время, либо лень, либо сговор, либо что-то еще будут этому препятствовать. 😬 Для внедрения безопасности в процесс разработки используют либо secdevops, либо devsecops подходы. По сути, это все ко концепцию безопасной разработки ПО, но отличие в том, как внедряются механизмы безопасности в процесс разработки. Если просто, то при secdevops по всем требованиям безопасности мы проходим в процессе подготовки релиза, а при devsecops - в конце перед самим релизом. Вопрос в щепетильности подхода. Больший “параноик“ дает большую безопасность. Но кто думает о безопасности, когда горят сроки? 🤷‍♂️ У кого есть время и деньги на внедрение анализа кода и причем тут автомобиль, припаркованный открытой дверцей к столбу - в данном видео! ✌️ Важно также налаживать обмен информацией внутри компании между подразделением разработки (ИТ) и безопасности (ИБ). Тем более что когда разработка внедряет средства автоматизации (трекеры, тестовые среды,...) безопасникам важно это знать. Обмен информацией не только делаем безопасника счастливым, но и обеспечиваем безопасность всей компании, особенно если ведется безопасная разработка! 💪 Если ИТ не создает для ИБ проблемы, то они будут дружить 🤝 А ведь безопасность не только заботится об анализе кода и secdevops в sdlc, но и о безопасности разработки, а также компании в целом, то есть сохранении работы для разработчика из ИТ! ☝️ Что нужно чтобы сделать безопасника счастливым: 🔷 анализ кода 🔷 сканер уязвимостей 🔷 безопасность разработки (на всех этапах - помним про secdevops!) 🔷 обмен информацией между ИТ и ИБ ✌️ Другие выпуски, упомянутые в видео: 1️⃣ ИТ против ИБ : противостояние или сотрудничество. Разрушаем стереотипы [ИБ в душе] - 2️⃣ Где найти уязвимости - как найти уязвимости - поиск информации в интернете - 3️⃣ Как взломать сайт компании - какие бывают уязвимости сети, сайтов, приложений, Windows, mac... - 4️⃣ Защита сайта - взлом сайта вашей компании (хакер - как ломают сайт) - часть 2 - ⏩ Поделитесь видео “Безопасность разработки - анализ кода, devsecops, sdlc и дружба с безопасником “ с коллегами и друзьями - ⏪ 🎫 Для аудита безопасности своего сайта или веб-приложения оставь заявку на сайте 👉 ✅ 🔍 _________________________________________________________________ 💰 помочь каналу 💸 💸 _________________________________________________________________ Подписывайтесь на канал : Смотрите последние видео тут - И еще много интересного на нашем Telegram канале: Ссылка на сайт, где можно оставить вопрос или заявку : Подписывайтесь, мы развенчиваем мифы о безопасности и делаем реальные проекты! _________________________________________________________________ Мы в социальных сетях. Присоединяйтесь, чтобы быть в курсе новостей и имеет с нами оперативную связь: #разработка #devops #sdlc #безопасность #ибвдуше #ibvdushe #консалтинг #аудит #ИБ #защита #информация #анализкода #ДмитрийУшаков