[SafeCode Live] Secure by design
—
В этом выпуске разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что такое Secure by design и нужен ли он в каждом продукте;
— чем SBD отличается от безопасной разработки;
— что делать, если «уже сделано небезопасно»;
— может ли SBD-продукт стать небезопасным;
— как стать компетентным в SBD;
— существуют ли общие концепции и стандарты.
Гости:
— Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
— Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
— Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
--
Полезные материалы
Общая теория по ИБ
— Бесплатный pdf «Software Security» от Mathias Payer Быстрое введение в основные концепции безопасности. В книге нет лишь глав о криптографии и формальных моделях контроля доступа/информационных потоков.
— Постоянно обновляемая подборка How to secure anything Открытый MD на GitHub. Описывает всё: от безопасности информационных систем до проектирования тюрем.
— Всеобъемлющая книга Мэта Бишопа Computer Security Art and Science.
Безопасность ОС
Хорошая книга про безопасность в операционных системах от Trent Jaeger «Operating System Security».
SBD
— Пример широты трактовки термина Secure by design в книге «Безопасно by design», Берг Джонсон Д., Деоган Д., Савано Д. Интересный подход к Secure by design через DDD.
— Книга «Threat Modeling: Designing for Security» от Adam Shostack. Введение в моделирование угроз от автора из Microsoft. Перекликается с Microsoft SDL. Показывает, что степень проникновения практики в процессы может варьироваться от практически игровой до формальной и строгой.
— «Secure Design Patterns» в формате pdf от SEI CERT Введение в architecture- и design-level безопасные паттерны.
— Формальное проектирование. «Безопасный» дизайн на практике может содержать ошибки, а model checking и model finding могут помочь. Книги на эту тему: «Specifying Systems» от Leslie Lamport, «Software Abstractions» от Daniel Jackson.
— Книга от ребят из Google в продолжение и расширение темы про SRE «Building secure and reliable systems» от Heather Adkins, Betsy Beyer, Paul Blankinship, Ana Oprea, Piotr Lewandowski, Adam Stubblefield.
— Базовая книга про DevSecOps Agile Application Security от Laura Bell, Michael Brunton-Spall, Rich Smith, Jim Bird.
#appsec #sbd
8 months ago 00:55:39 1
![[SafeCode Live] Как взломать Kubernetes?](https://sun9-80.userapi.com/IW0S9qqnEYVN4W31Eezv9y56Xr_V06pabwxX8Q/BbusDFi_fyw.jpg)
9 months ago 00:55:29 1
![[SafeCode Live] Архитекторы безопасности](https://sun9-18.userapi.com/hSTFICrHyq_UCwKto8dEZDp8fKlAVieloIcbFQ/A274KjEKtCU.jpg)
1 year ago 01:00:13 1
![[SafeCode Live] Безопасность Modern Web Application](https://sun9-78.userapi.com/I6UBPvDP2CB3OxtDUB6qcXMko4bfrDtH9547VQ/CNkFyHwxIHg.jpg)
2 years ago 01:20:12 1
![[SafeCode Live] Контейнерная безопасность](https://sun9-64.userapi.com/mtpFvlc-dHHJXtrdsmf7jeYbIDdO95Co2okARg/St2MhPFITwI.jpg)
2 years ago 03:51:36 1
2 years ago 01:20:55 1
![[SafeCode Live] Принципы статического анализа кода](https://sun9-51.userapi.com/0mVahh7WQrMiMApxFsp46gk1jEr6etE_6zH1-Q/AJ-YEOe-rBY.jpg)
2 years ago 01:02:14 5
![[SafeCode Live] Secure by design](https://sun9-12.userapi.com/L-H9uUHeNe9oUQ6OLK1y7DrLRbxkWodWtNlhhQ/9E5LqN-kDkc.jpg)
2 years ago 01:17:26 1
![[SafeCode Live] Ролевые игры в безопасности](https://sun9-8.userapi.com/Iug7j0CKe2vkrEc2kfJI6Ogt9b7uko5OFFQI6A/ZqShSCiRBxk.jpg)
2 years ago 01:03:42 11
![[SafeCode Live] ML в AppSec](https://sun9-59.userapi.com/QCoq__t6CI3IQAsCqilPe1UN4JSGyI3QtiIleA/C7RL2UDGFA0.jpg)
2 years ago 01:19:54 37
![[SafeCode Live] Безопасность мобильных приложений](https://sun9-26.userapi.com/DAq9FTQ7BN4PfSeiwe_0iFf6lFlyTDsL3Ye3dw/PkxUCGN5HYw.jpg)