SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security

Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.

Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.

Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:

* SAST (инструменты статического анализа)

* SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)

* DAST/IAST (инструменты динамического/интерактивного анализа)

* Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)

* Инструменты дефект-менеджмента

Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.

Ссылки на ресурсы по темам выпуска:

* Базовые уязвимости OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)

* Требования OWASP Application Security Verification Standard (https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project#tab=Downloads)

* Как проверять требования (OWASP Testing Guide) (https://github.com/OWASP/OWASP-Testing-Guide-v5)

* (https://continuumsecurity.net/bdd-security/)BDD Security (https://continuumsecurity.net/bdd-security/). Неплохая идея, как можно автоматизировать проверку требований

* BSIMM. Фреймворк для построения процесса SSDL (https://www.bsimm.com/)

* OpenSAMM. Фреймворк для построения процесса SSDL (https://www.opensamm.org/)

* Nexus IQ. Платформа для проверки OpenSource Components (https://www.sonatype.com/nexus-iq-server)

* Checkmarx SAST. Инструмент SAST (https://www.checkmarx.com/products/static-application-security-testing/)

* Appsec Orchestration. Управление и оркестрация процессов SSDL (https://swordfishsecurity.ru/appsechub)

* Бэкдор в event-stream (https://habr.com/post/431360/)

* Несколько открытых проектов с уязвимостями для обучения:

* DVWA (http://www.dvwa.co.uk/)

* Juice Shop (https://www.owasp.org/index.php/OWASP_Juice_Shop_Project)

* iOS (http://damnvulnerableiosapp.com/)

* Android (https://github.com/dineshshetty/Android-InsecureBankv2)

* Гайд для Security Champions (security-champions-playbook) (https://github.com/c0rdis/security-champions-playbook)

Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon) а так же ретвитом, постом и просто рассказом друзьям!