Я - Илья Уразбахтин, эксперт и энтузиаст в области ИБ.
Ты - тот, кому интересна тема информационной безопасности.
Это - проект "Безопасность в тапочках"
Здесь говорим со специалистами об информационных технологиях и их безопасности.
О том, кем и как делается информационная безопасность в мире. Есть ли что-то особенное в отечественной ИБ и что значит делать безопасность по-русски?
Обсуждаем серьёзные темы, но делаем это по домашнему, в тапочках)
В первом выпуске мы с Дмитрием Пономаревым, евангелистом безопасной разработки, обсуждаем:
- Что такое SDL, кому он нужен и зачем?
- Почему безопасная разработка - это не только про безопасность?
⁃ Почему opensource может быть не безопасен, даже если это код Mozilla;
⁃ Теории заговора, HeartBleed и как он изменил мир;
- Почему AppSec-инженеров дефицит даже в Москве и где все таки их искать?
- ФСТЭК, статический анализ и фаззинг, почему российские компании не говорят об уязвимостях и многие другие темы.
Видео-лекции по анализу ПО на уязвимости и безопасной разработке - [ Ссылка ]
Каналы по доверенной разработке:
Динамика - [ Ссылка ]
Статика - [ Ссылка ]
Информ канал - [ Ссылка ]
↓↓↓
ПОДПИСЫВАЙСЯ НА ПРОЕКТ:
Telegram 🔥 [ Ссылка ]
Аудио-подкаст ► [ Ссылка ]
0:00 О проекте "Безопасность в тапочках"
0:40 Как Дмитрий попал в ИБ
4:47 Что такое безопасная разработка и кому она нужна?
10:27 Безопасная разработка - это не только про безопасность;
17:53 Основные домены безопасной разработки
20:24 Про правильное моделирование архитектуры;
23:12 Про использование open-source, история про код Firefox
26:26 open-source - это же безопасно?
29:23 Теория про то, как появился HeartBleed;
38:05 Что такое статический анализ ?
44:01 Как жить с ложноположительными сработками анализаторов?
45:50 Про различия в движках стат. анализаторов и отечественный Svace, который используется в Samsung
57:40 Про уровни критичности результатов статического анализа
1:00:25 Что такое динамический анализ?
1:03:36 Что такое фаззинг-тестирование?
1:05:18 Про развитие фаззинга и AFL
1:13:26 Что необходимо фаззить?
1:19:40 Где брать специалистов по безопасной разработке и почему даже в Москве их дефицит.
1:24:40 Про курсы ФСТЭК, ИСП РАН и почему Дмитрий не хотел на них идти
1:34:34 Про инициативу совместного анализа open-source на ресурсах ИСП РАН (аналог OSS-FUZZ)
1:37:53 Про обнаружение уязвимостей и метрики качественного кода
1:41:38 Про аутсорсинг безопасной разработки;
1:43:28 про изменение подхода к сертификационных испытаниям
1:46:02 Как замотивировать команду заниматься безопасностью
1:51:32 Про сертификацию ФСТЭК и фундаментальные изменения в требованиях
1:53:31 Что гарантирует сертификат ФСТЭК
1:56:07 Кто помогает ФСТЭК?
1:57:38 Как компании помогают создавать требования безопасности
1:59:08 Безопасно ли переходить на отечественное ПО?
2:03:08 Почему во ФСТЭК БДУ мало уязвимостей отечественного ПО?
2:04:47 Про закладки в отечественном ПО
2:05:17 Блиц
#Безопасностьвтапочках
#cybertapochky #безопаснаяразработка
#SDL #втапочках #security
Ещё видео!