DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт
Гость:
Антон Башарин. Технический директор Swordfish Security, сооснователь платформы , архитектор продукта и ведущий эксперт по его развитию.
Содержание выпуска:
— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.
— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.
— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.
— Яркие примеры атак на цепочки поставок ПО.
— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift Left.
— Как выглядит работа DevSecOps-специалистов.
— Что такое Software Composition Analysis и как он осуществляется.
— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.
— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.
— Метрики и бенчмарки в DevSecOps.
Полезные ссылки:
— статья про бэкдор в event-stream
— отчет Group IB о Redcurl
— блог Swordfish Security на Хабре
— YouTube-канал Swordfish Security @swordfishsecurity
— Марк Миллер, «Epic Failures in DevSecOps: Volume 1»
— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype»
Стартовать в программировании вместе со Skillbox:
Наш подкаст удобно слушать на популярных платформах:
Castbox:
«Яндекс.Музыка»:
Apple Podcasts:
Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!
2 views
484
129
2 months ago 00:27:05 1
Андрей Акинин, Web Control: как продать DevSecOps бизнесу и кто должен курировать безопасность
2 months ago 00:22:09 1
Антон Гаврилов, «Инфосистемы Джет»: внедри DevSecOps или умри — правильно ли ставить так вопрос
2 months ago 00:19:17 1
Денис Кораблев, Positive Technologies: о ключевых составляющих DevSecOps и ошибках при внедрении
2 months ago 00:21:10 1
Антон Гаврилов, «Инфосистемы Джет»: о защите данных в контейнерах и контроле целостности
2 months ago 00:19:47 1
Сергей Деев, «Ростелеком-Солар»: что умеет Solar appScreene и какие задачи он решает
2 months ago 00:15:50 1
Дарья Орешкина, Web Control: о чистоте кода, необходимости анализа и уязвимостях
2 months ago 00:18:36 1
Анна Архипова, ITD Group: как анализирует код продукт от Checkmarx, для чего нужны IAST и SCA
2 months ago 00:19:01 1
Валерий Куваев, Micro Focus: о платформе Fortify и приоритизации выявленных в коде проблем
2 months ago 00:19:42 1
Алексей Жуков, Positive Technologies: о PT Application Inspector и его подходе к анализу кода
2 months ago 00:15:56 1
Вячеслав Алешин, : кому подходит «WAF как сервис» и что предлагает
2 months ago 00:17:33 1
Вячеслав Гордеев, Fortinet: о продукте FortiWeb и правильном выборе WAF
2 months ago 00:15:52 1
Омар Ганиев, DeteAct: о выборе подрядчиков, непрерывном пентесте и сервисах PTaaS
2 months ago 00:29:15 2
Олег Никитский, Symantec/CA by Broadcom: о смене бренда Symantec, планах компании и российском рынке
2 months ago 00:12:41 2
Илья Поляков, Angara Security: о безопасной разработке и как снизить цену ошибки
2 months ago 00:41:39 1
(Не)безопасность Open Source пакетов: о доверии, культуре и инструментах DevSecOps
2 months ago 01:01:42 1
Безопасная разработка (DevSecOps)
3 months ago 00:23:15 1
Каким должен быть SAST?
3 months ago 01:00:13 1
Безопасность Modern Web Application
4 months ago 01:17:10 1
Курсы по кибербезопасности с нуля до аналитика DevSecOps. Часть 1
4 months ago 02:02:21 1
Как настроить VPN-кластер на базе OpenVPN в Ubuntu / Debian / CentOS для большого кол-ва клиентов
5 months ago 01:06:38 1
Вебинар №6: Безопасная разработка ПО для значимых объектов КИИ
7 months ago 00:07:21 5
Никита Москвичев: отличия модели безопасной разработки SecWare, интеграция DevSecOps; SAST DAST
8 months ago 00:38:04 1
Автоматизация в ИБ: практики внедрения GRC, инфраструктуры как кода, DevSecOps и систем мониторинга
8 months ago 02:50:02 7
Управление уязвимостями (Vulnerability Management). Как это работает?