Лучшие практики безопасной разработки

В первой части АМ Live Plus мы обсудили важность и базовые основы безопасной разработки программного обеспечения (РБПО) или DevSecOps. Смотрите вторую часть эфира AM Live Plus, и вы узнаете о лучших практиках безопасной разработки: 🔸 Кто в компании должен быть вовлечен в процесс безопасной разработки? 🔸 Какие технические средства могут при этом применяться? 🔸 С чего начинать внедрение DevSecOps? Если еще ничего нет, то какой этап должен быть первым? 🔸 Как влияет внедрение DevSecOps на стоимость продукта\процесса? Можно ли уменьшить стоимость? 🔸Применение ИИ в безопасной разработке 🔸Приложение успешно вышло в релиз. Какие меры должны предприниматься дальше для улучшения безопасности в будущем? 🔸Какие средства автоматизации процесс РБПО есть на рынке? 🔸Как решать кадровые вопросы? Как сделать безопасную разработку общепринятой культурой и неотъемлемой частью разработки любой компании? Тайм-коды: 00:00:00 Введение в безопасную разработку 00:01:12 Подходы к вовлечению бизнеса • Два подхода: поддержка бизнеса и объяснение ценности безопасности разработчикам 00:02:04 Вовлеченность всех участников 00:02:53 Влияние на время разработки 00:04:23 Вовлеченность коммерческих департаментов 00:05:00 Технические средства для безопасной разработки 00:06:13 Обучение и требования 00:07:57 Внешний аудит и анализ конфигурации 00:11:28 Интерактивный анализ 00:12:49 Использование инструментов для компенсации 00:14:50 Введение в самозащиту приложений • Самозащита приложений включает множество решений, которые часто импортируются 00:15:40 Искусственный интеллект и машинное обучение • ИИ и машинное обучение могут использоваться для генерации эксплойтов и защитных мер • ИИ может помочь в поиске уязвимостей и ошибок в коде • Исследования показали, что ИИ может сократить трудозатраты на анализ кода 00:16:47 Применение ИИ в статическом анализе 00:19:26 Будущее ИИ в безопасности 00:24:15 Результаты опроса «На какой стадии внедрения практик безопасной разработки вы находитесь?» 00:27:14 Применение мер безопасности после выпуска приложения 00:29:34 Важность API Security 00:30:33 Новые решения для API Security 00:31:24 Поведенческий анализ и WAF 00:32:48 Обратный маршрут от рантайма к коду 00:34:01 Проблемы внедрения безопасной разработки 00:38:02 Метрики и контроль эффективности 00:40:15 Экономическая оценка уязвимостей 00:43:45 Метрики безопасности • Метрика эффективности процесса безопасности важнее, чем просто поиск уязвимостей 00:45:10 Кадровый голод и обучение 00:49:35 Аутсорсинг и интеграция 00:53:36 Результаты опроса «Каково главное препятствие к внедрению безопасной разработки в вашей организации?» 00:57:56 Метрики и их смещение 00:58:55 Шифт лефт и метрики 01:00:00 Проблемы с версиями приложений 01:01:43 Практические методы проверки • Использование пинтеста и Bug Bounty для проверки уязвимостей • Статический анализ библиотек при сертификации • Сложности ручного анализа больших объемов данных 01:02:32 Обоснование внедрения безопасной разработки • Кривая стоимости исправления уязвимостей • Влияние инцидентов на репутацию бизнеса. • Важность внешней оценки и аудита процессов для крупных корпораций 01:05:52 Заключение ⭐️Модератор: Илья Шабанов, Генеральный директор, «АМ Медиа» ⭐️Спикеры: • Анна Архипова, Ведущий менеджер по развитию бизнеса, ITD Group • Илья Поляков, Руководитель отдела Анализа Кода, Angara Security • Евгений Тодышев, Руководитель направления безопасной разработки, УЦСБ Календарь трансляций AM Live Сотрудничество и связь с редакцией: author@ По вопросам рекламы: sales@