20.10.2023

Лаборатория Касперского. Вебинар DevSecOps: организация безопасной разработки на уровне процессов

Продолжаем говорить о безопасной разработке в рамках совместного проекта «Лаборатории Касперского» и VK Cloud «Безопасная разработка в облаке», где специалисты по информационной безопасности, разработчики и представители бизнеса обсуждают безопасность приложений в облачном периметре. На этом вебинаре мы обсудили, как создавать продукты, которые будут соответствовать требованиям безопасности, как автоматизировать разработку и доставку продукта там, где зависимости и условия меняются ежедневно.

Введение
-Приветствие и представление экспертов по безопасной разработке: Алексей Рыбалка, Анатолий Коваленко, Дмитрий Евдокимов и Борис Ролов.

Обсуждение понятия "деси копс"
-Обсуждение того, что "деси копс" - это процесс, а не отдельный этап разработки.

-Обсуждение важности обеспечения безопасности на всех этапах разработки.

Обсуждение документа "ова где все копс гайдлайн"
-Обсуждение целей документа: находить проблемы в безопасности как можно быстрее.

-Обсуждение стадий безопасной разработки: инициализация, коммит, континиус, диплой.

Обсуждение процесса безопасной разработки
-Обсуждение того, как правильно внедрять культуру безопасной разработки внутри команды.

-Обсуждение роли "секьюрити чемпиона" внутри команды.

Заключение
-Подведение итогов и благодарность за внимание.

Секьюрити-чемпионы
-Секьюрити-чемпион - это человек, который занимается безопасностью в команде разработки и доносит информацию о безопасности до других членов команды.

-В некоторых компаниях секьюрити-чемпионы назначаются сверху, в других они выбираются из команды.

Опыт других компаний
-Обсуждаются подходы к безопасности в других компаниях, включая ВК и Лабораторию Касперского.

-В ВК безопасность не опирается на секьюрити-чемпионов, а в Лаборатории Касперского секьюрити-чемпионы назначаются сверху.

Заключение
-Обсуждается мнение о том, что секьюрити-чемпионов можно не назначать внутри команды, а выделять в отдельную команду или группу команд.

-В видео подчеркивается важность безопасности в разработке программного обеспечения и необходимость выделения секьюрити-чемпионов в компаниях.

Обсуждение безопасности на разных этапах разработки
-В видео обсуждается, как обеспечить безопасность на разных этапах разработки, начиная с аудита и заканчивая стадией коммита.

-Обсуждаются различные подходы к обеспечению безопасности, включая использование секьюрити-чемпионов, аудиторов и внутренних специалистов.

Лаборатория Касперского. Вебинар DevSecOps: организация безопасной разработки на уровне процессов. Продолжаем говорить о безопасной разработке в рамках совместного проекта «Лаборатории Касперского» и VK Cloud «Безопасная разработка в облаке», где специалисты по информационной безопасности, разработчики и представители бизнеса обсуждают безопасность приложений в облачном периметре. На этом вебинаре мы обсудили, как создавать продукты, которые будут соответствовать требованиям безопасности, как автоматизировать разработку и доставку продукта там, где зависимости и условия меняются ежедневно. Kaspersky Lab, Купить Антивирус Касперского, Роман Ермаков, Алексей Рыбалко, Анатолий Коваленко, Дмитрий Евдокимов, Борис Фролов

Безопасная конфигурация репозиториев
-Обсуждается важность безопасной конфигурации репозиториев, включая права доступа и ограничения доступа для разработчиков.

-Упоминается концепция монорепов и важность ролевой модели доступа для обеспечения безопасности.

Разделение возможностей разработчиков
-Обсуждается разделение возможностей разработчиков, включая взаимодействие с производственными раннерами и контроль над ними.

Разграничение конфигурационных файлов
-Обсуждение важности разграничения конфигурационных файлов и контроля целостности конфигураций

-Линтеры используются для проверки соответствия стандартам оформления кода и структуры кода

Безопасная конфигурация образов контейнеров
-Безопасная конфигурация образов контейнеров - один из уровней выстраивания безопасности приложений

-Обсуждение использования дистролес образов и их преимуществ для безопасности

Переход к дистролес образам
-Зависит от команд и готовности к переходу на новую методологию

-Идея дистролес образов хорошая, но пока не все команды готовы к переходу

Обсуждение безопасности на разных этапах разработки
-В видео обсуждается безопасность на разных этапах разработки, начиная с разработки кода и заканчивая стадией "континиус деливери".

-Обсуждаются различные подходы к обеспечению безопасности, такие как использование контейнеров и проверка безопасности конфигураций.

Обсуждение безопасности апи и миконфигураций
-Обсуждается безопасность апи и миконфигураций на разных этапах разработки.

-Рассматриваются различные подходы к обеспечению безопасности апи, такие как проверка безопасности конфигураций контейнеров и проверка безопасности апи.

Обсуждение безопасности на стадии "континиус деливери"
-Обсуждается безопасность на стадии "континиус деливери", где контейнеры выходят в фронтам и проверяются на наличие повышенных привилегий, грязных реестров и других потенциальных угроз.

-Рассматривается возможность блокировки запуска контейнеров в случае обнаружения угроз.

Обсуждение безопасности на разных стадиях разработки
-Обсуждение безопасности на разных этапах разработки приложений, включая безопасность ключей-сертификатов, безопасность клауд-подхода и безопасность на стадии дипло.

-Обсуждение важности обеспечения безопасности на всех этапах разработки, включая безопасность на стадии дипло, когда приложение уже готово к размещению.

Анализ уязвимостей и тестирование на проникновение
-Обсуждение анализа уязвимостей и тестирования на проникновение, включая контейнеры в рантайме и анализ подозрительной активности.

-Обсуждение важности анализа уязвимостей, тестирования на проникновение и мониторинга для обеспечения безопасности приложений.

Контроль и мониторинг безопасности в рантайме
-Обсуждение контроля и мониторинга безопасности в рантайме, включая детекшн и превеншн, а также сбор логов и мониторинг приложения.

-Важность контроля и мониторинга безопасности в рантайме для обеспечения безопасности приложений и контроля за аномалиями.

Пинтесты и их периодичность
-Обсуждается необходимость проведения пинтестов для проверки безопасности контейнеров и приложений.

-Рассматриваются различные виды пинтестов, их периодичность и стоимость.

-Рекомендуется проводить пинтесты для крупных компаний раз в год, а для средних и малых - раз в полгода.

Обсуждение типов тестирования
-В видео обсуждается разница между типами тестирования: черный бокс, белый бокс и грей бокс. Черный бокс позволяет смоделировать поведение внешнего злоумышленника, в то время как белый бокс и грей бокс позволяют смоделировать поведение внутреннего злоумышленника.

-Белый бокс и грей бокс обычно используются вместе, чтобы обеспечить более полное и эффективное тестирование.

Вайт бокс и грей бокс
-Вайт бокс является редким и дорогим инструментом, который не всегда эффективен из-за сжатого времени на тестирование.

-Грей бокс, с другой стороны, позволяет провести тестирование более осознанно и эффективно, так как позволяет смоделировать поведение как внешнего, так и внутреннего злоумышленника.

Бричте симулейшин
-Бричте симулейшин - это тип тестирования, который не используется в России, но может быть полезен для контроля средств безопасности в компании.

-Уровень зрелости компании является ключевым фактором для использования таких инструментов, так как они требуют определенного уровня зрелости и готовности компании.

Инструменты полисе зако
-Инструменты полисе зако используются для управления тестированием и контроля средств безопасности в компании.

Обсуждение подходов к безопасности
-В видео обсуждается, что безопасность может быть описана в виде скриптов на языке программирования, что позволяет хранить все в одном месте и вносить изменения в один экземпляр.

-Обсуждается, что это может быть сложной задачей для крупных и распределенных компаний, но это важная и интересная вещь.

Обсуждение нишевых подходов к безопасности
-Обсуждается, что использование политик безопасности может быть нишевой темой, когда у заказчика есть такая задача, и это может быть вынужденной историей.

-Отмечается, что использование политик безопасности может быть сложным и требовать высокой квалификации специалистов.

Обсуждение прозрачности и взаимодействия между командами
-Обсуждается необходимость прозрачности правил игры для обеспечения быстрого выкатывания фич и соответствия нужному уровню безопасности.

-Отмечается, что в современных инструментах безопасности не требуется быть специалистом по безопасности, достаточно понимать, куда нужно идти приложению.

Завершение обсуждения и переход к вопросам и ответам
-Обсуждается, что секьюрити должен быть сотрудником организации, в которой разрабатывается код, но руки могут быть отданы на аутсорс.

-Подчеркивается важность прозрачности правил игры для обеспечения безопасности и взаимодействия между командами.

Завершение вебинара и приглашение на следующий вебинар
-Вебинар завершается, и приглашается на следующий вебинар, который будет посвящен вызовам безопасности с применением современных технологий.

Материал подготовлен АО "Лаборатория Касперского"

Комментарии
Отправить запрос

Ваше Имя

Ваш телефон

Ваш E-mail

Название организации

Город

Текст запроса

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Теги:

Лаборатория Касперского. Вебинар DevSecOps: организация безопасной разработки на уровне процессов

Видео

Работа с шаблонами документов в приложениях МойОфис

Интерфейс Astra Linux 1.8

Бэкап для малого бизнеса: как не терять данные

Как редактировать изображения в ContentReaderPDF

Безопасность облачной инфраструктуры Kaspersky Cloud Workload Security

Возможности KasperskyOS для мобильных платформ

Страсть, опыт и значительные инвестиции. Начало показа кибериммунных моделей сезона лето-осень 2023

Кибер Бэкап и Yandex Cloud. Вебинар «Резервный четверг 05/10»

Как сделать лепестковую диаграмму в Р7-Офис

Как учителю сделать презентацию в «Р7-Офис»

Важное

Тренды