Гость — Алексей Морозов, руководитель отдела процессов AppSec в Тинькофф.

О чём болтаем?

Раскладываем по полочкам, как работают инструменты статического и динамического анализа — SAST и DAST, и зачем найденные при помощи анализаторов уязвимости нужно проверять еще и в ручном режиме. Обсуждаем градацию критичности уязвимостей, способы их обнаружения и механику устранения. Выясняем, где грань между white hat и black hat хакерами. И самое важное: помним, что есть два типа компаний — которым нужна безопасность и которые еще не доросли до того, что она им нужна — то есть не столкнулись с хакерами.

Ссылки:

Доклад Алексея Морозова: https://www.youtube.com/watch?v=z8GHPnbitQA

Таймкоды:

0:33 О чем болтаем?

1:17 Кто такой Алексей Морозов

2:40 Чем занимается команда AppSec

3:53 Как организована работа команды AppSec

5:42 Направления работы AppSec и взаимодействие с командами

7:46 Как внедрять проверки безопасности в свой рабочий процесс

12:43 Большая ли нагрузка у членов команды AppSec

14:14 Как ковид нагрузил безопасность

15:52 Можно ли полностью автоматизировать проверки безопасности, и что такое DAST

20:40 Результат прохождения DAST может заблокировать релиз?

21:43 Градация критичности уязвимостей

24:19 Источники уязвимостей и как их обнаружить

25:32 О том, как внутри Тинькофф сотрудники могут заработать на обнаружении уязвимости

26:57 Как высчитывается стоимость уязвимости и стоимость ее исправления

27:47 Что если в проект подложили вредоносный код

31:22 Про механику уязвимости log4shell

32:55 Какими бывают хакеры

36:28 Краткая инструкция для команд разработки

38:14 Памятка пользователю — как не допустить утечку персональных данных

41:26 Блиц

Канал IT’s Tinkoff в Телеграме: https://t.me/itstinkoff

Больше про карьеру в IT в Тинькофф: https://l.tinkoff.ru/about-it-career