Зустрічайте десятий, ювілейний випуск Fwdays Architecture Talks!

У цьому випуску наші постійні спікери — Олександр Савченко та Олексій Петров — разом із гостем, Анастасією Войтовою, Head of Security Engineering в Cossac Labs | CISSP, обговорять:

— Security practice and people - Що таке Security, чому спеціалісти різноманітні і кого треба шукати

— Основні драйвери для Безпеки продукту - звідки беруть рішення по безпеці, які є стандарти та методології

— Безпека в епоху AI

- Які AI тули допомагають покращити безпеку продукту

- Основні загрози та як підвищити безпеку бізнес фіч з АІ

Корисні посилання:

— Security Quality Attributes: https://www.iso25000.com/index.php/en/iso-25000-standards/iso-25010?start=5

— SAFEcode Fundamental Practices for Secure Software Development: https://safecode.org/uncategorized/fundamental-practices-secure-software-development/

— SFIA Cyber Security: https://sfia-online.org/en/tools-and-resources/sfia-views/sfia-view-information-cyber-security/sfia-skills-and-information-security

— Security software architecture — що це за звір: https://www.cossacklabs.com/job/security-software-architect/

— Data Centric security:

- NIST SP 800-154 Guide to Data-Centric System Threat Modeling: https://csrc.nist.gov/pubs/sp/800/154/ipd

- Anastasiia’s talk about data centric security: https://speakerdeck.com/vixentael/data-is-a-new-security-boundary

— Чеклісти для розробників

- OWASP Cheatsheets -- конкретні теми по реалізації засобів безпеки (JWT, authentication, microservice security): https://cheatsheetseries.owasp.org/index.html

- Веб безпека OWASP ASVS: https://github.com/OWASP/ASVS/tree/master

- Мобільна безпека OWASP MASVS: https://github.com/OWASP/owasp-masvs/tree/master

- Мобільна безпека CL Mobile Security Score: https://www.cossacklabs.com/news/product-news/introducing-cl-mss-security-verification-framework-for-mobile-apps/

- IoT безпека: https://github.com/OWASP/owasp-istg

— AI & security

- Використання ML моделей для прискорення пошуку вразливостей: https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/

- MITRE ATLAS — чекліст з захисту AI / ML застосунків: https://atlas.mitre.org

- Блогпост Cossack Labs про захист ML моделей на пристроях (edge ML security): https://www.cossacklabs.com/blog/machine-learning-security-ml-model-protection-on-mobile-apps-and-edge-devices/

- EchoLeak (CVE‑2025‑32711) — “zero‑click” атака на AI‑агента з глибокою автоматизацією так, що користувач не виконує жодної дії: https://www.aim.security/lp/aim-labs-echoleak-blogpost

— 6,500+ Secret AI System Prompts from Top Companies: https://github.com/x1xhlol/system-prompts-and-models-of-ai-tools

— Another leaked prompts repo: https://github.com/jujumilk3/leaked-system-prompts

На що варто підписатися:

– Більше цікавого для розробників: https://fwdays.com

– Телеграм-канал Fwdays: ​https://t.me/fwdays

– Телеграм-канал Олексія: https://t.me/OleksiiTheArchitect

– LinkedIn Олексія: https://www.linkedin.com/in/alexhelkar

– LinkedIn Олександра: https://www.linkedin.com/in/o-savchenko/

– LinkedIn Анастасії: https://www.linkedin.com/in/anastasiiavoitova/?originalSubdomain=ua

Таймкоди:

00:00 - Інтро

01:38 - Що таке Security і навіщо? Security Quality Attributes

07:49 - Різні спеціалісти («security»/«architect engineer»): кого шукати та мінімальний склад

24:19 - Main Drivers, Вимоги безпеки, Ризики: як ухвалюються рішення, стандарти, best practices та помилки

31:48 - Security controls, tactics

36:33 - Чеклісти для розробників: OWASP ASVS / MASVS / SAMM, NIST

48:00 - AI & Security: Які AI тули допомагають покращити безпеку продукту?

01:00:46 - Основні загрози та як підвищити безпеку бізнес фіч з АІ?

01:06:28 - Summary