SlideShare ist ein Scribd-Unternehmen logo

SSDL: один день из жизни разработчика

Positive Hack Days
Positive Hack Days

Ведущий: Валерий Боронин Как облегчить для разработчика процесс анализа исходного кода на стадии реализации по SDL/SSDL и как интегрировать инструменты анализа, чтобы уменьшить затраты на исправление ошибок? Иногда лучшее решение — это отсутствие пользовательского интерфейса! Приходите, чтобы увидеть взаимодействие Человека с Машиной через исходный код.

Technologie
1 von 19
ptsecurity.com Valery Boronin Один день из жизни разработчика
R&D – 20 лет Разработчик режима ядра – мы сделали лучший в мире App & Device Control В команде RSDN, все еще #1 in Low-level?! Безопасность – с прошлого тысячелетия CTO, небольшая компания (30+ чел) Director DLP Research, большая (ЛК) DLP, Encryption, Incident Management Сейчас отвечаю за направление SDL и Строим Application Inspector SSDL Edition 31.05.2016 Positive Hack Days 2016, Moscow 2 Валерий Боронин
1. Вводная 2. Трудности с App Sec Testing (AST) Tools 3. Что можно с этим сделать? 4. Промоделируем новую схему вживую 5. Что имеем по итогу 6. Вопросы и ответы Программа на следующий час 31.05.2016 Positive Hack Days 2016, Moscow 3
Лавина Кода Нет людей на отсмотр За разумное время 31.05.2016 Positive Hack Days 2016, Moscow 4 Хьюстон, у нас проблема...
Quality – Defects cost huge money and leads to project failures. Security even worse Security is hard to find Security is hard to fix 31.05.2016 Positive Hack Days 2016, Moscow 5 Качество? С безопасностью все еще хуже! HIGHLIGHTS FROM THE 2015 WORLD SW QUALITY REPORT: Security is the most pressing concern
Растут риски Качество ниже, чем ожидали Баги проскакивают в продакшн Трудозатраты, расписание, бюджет превышены ... Проект завален увеличиваются потери Более низкие продажи $$$ даже жизни людей 31.05.2016 Positive Hack Days 2016, Moscow 6 В результате
1. +1 консоль, +1 процесс, +1 отчет, ... 2. Пожар в шлеме + нет особо помощи с устранением 3. Заточены под одну роль (или вообще один user) 4. Разрозненный инструментарий + SSDL не цель 5. Ручное иили неудобное использование 6. Задержки + Нет присмотра за процессом 7. Иногда слабовата подводит архитектура 31.05.2016 Positive Hack Days 2016, Moscow 7 Трудности с AST инструментами
1. UI? Лучший интерфейс – его отсутствие! 31.05.2016 Positive Hack Days 2016, Moscow 8
1. Разные проблемы – по разным тикетам 2. Работа по исправлению – в отдельных, специальным образом подготовленных бранчах 31.05.2016 Positive Hack Days 2016, Moscow 9 2. Тушим пожары в шлемах. Совместно! 1 2
31.05.2016 Positive Hack Days 2016, Moscow 10 3. Роли и RBAC Administrator – настроить и назначить на роли Developer – для разработчиков и QA Manager – для руководителей / старших ...дальше – больше :-)
31.05.2016 Positive Hack Days 2016, Moscow 11 4. Помним, куда стремимся!
Результаты доставляются ASAP до всех участников процесса их любимым образом, в привычной им форме и даже на их языке Уведомления отчеты в письмах, точнее, UA- уведомлениях • FYA – For Your Action • FYI – кому поспать спокойно 31.05.2016 Positive Hack Days 2016, Moscow 12 5. Любимый инструмент удобно сидит в руке
31.05.2016 Positive Hack Days 2016, Moscow 13 6. Мин. задержки + контроль на линии Непрерывная event-driven защита Установите и контролируйте свои правилаполитику Присмотр за процессом / Подтверждения фиксов
AF 31.05.2016 Positive Hack Days 2016, Moscow 14 7. Как это работает – компоненты решения UX- & UA-aware Extensible Secure • RBAC (UI + данные) • Segregation of duty • Least privileges
ptsecurity.com Valery Boronin Схема вживую
ptsecurity.com Valery Boronin Что имеем по итогу
Общаемся через исходный код Группировка и прогресс - привычный трекер Автоматический анализ с эксплоитами и подтверждениями исправлений – облечит отладку и убережет от греха! 31.05.2016 Positive Hack Days 2016, Moscow 18 Выгоды для разработчика
Все было понятно? Все было, что Вам нужно? Что-то пропустили? Вопросы и уточнения Идеи Рацпредложения Хочу работать с вами! Пожалуйста, пишите стучите звоните – как Вам удобнее. Если мысль придет позже – тоже ОК! Спасибо за внимание! 31.05.2016 Positive Hack Days 2016, Moscow 19
ptsecurity.com Valery Boronin Спасибо! Вопросы?

Empfohlen

AgileDays 2017: Особенности фасилитации больших команд
AgileDays 2017: Особенности фасилитации больших командAgileDays 2017: Особенности фасилитации больших команд
AgileDays 2017: Особенности фасилитации больших команд
Svetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
Индивидуальное и командное сопротивление изменениям.
Индивидуальное и командное сопротивление изменениям.Индивидуальное и командное сопротивление изменениям.
Индивидуальное и командное сопротивление изменениям.
Svetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
как сделать свой кластер на postgresql 95
как сделать свой кластер на postgresql 95как сделать свой кластер на postgresql 95
как сделать свой кластер на postgresql 95
Максим Селиверстов
 
Вебинар: Как научить команду работать по Скраму?
Вебинар: Как научить команду работать по Скраму?Вебинар: Как научить команду работать по Скраму?
Вебинар: Как научить команду работать по Скраму?
LuxoftAgilePractice
 
Ирина Пчелинцева
Ирина ПчелинцеваИрина Пчелинцева
Ирина Пчелинцева
CodeFest
 
Positive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days. Pavlov. Network Infrastructure Security AssessmentPositive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
Positive Hack Days
 
Why IT Security Is Fucked Up
Why IT Security Is Fucked UpWhy IT Security Is Fucked Up
Why IT Security Is Fucked Up
Positive Hack Days
 

Empfohlen

AgileDays 2017: Особенности фасилитации больших команд
AgileDays 2017: Особенности фасилитации больших командAgileDays 2017: Особенности фасилитации больших команд
AgileDays 2017: Особенности фасилитации больших команд
Svetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
Индивидуальное и командное сопротивление изменениям.
Индивидуальное и командное сопротивление изменениям.Индивидуальное и командное сопротивление изменениям.
Индивидуальное и командное сопротивление изменениям.
Svetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
как сделать свой кластер на postgresql 95
как сделать свой кластер на postgresql 95как сделать свой кластер на postgresql 95
как сделать свой кластер на postgresql 95
Максим Селиверстов
 
Вебинар: Как научить команду работать по Скраму?
Вебинар: Как научить команду работать по Скраму?Вебинар: Как научить команду работать по Скраму?
Вебинар: Как научить команду работать по Скраму?
LuxoftAgilePractice
 
Ирина Пчелинцева
Ирина ПчелинцеваИрина Пчелинцева
Ирина Пчелинцева
CodeFest
 
Positive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days. Pavlov. Network Infrastructure Security AssessmentPositive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days. Pavlov. Network Infrastructure Security Assessment
Positive Hack Days
 
Как увидеть невидимые инциденты
Как увидеть невидимые инцидентыКак увидеть невидимые инциденты
Как увидеть невидимые инциденты
Positive Hack Days
 
Why IT Security Is Fucked Up
Why IT Security Is Fucked UpWhy IT Security Is Fucked Up
Why IT Security Is Fucked Up
Positive Hack Days
 
Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятии
Positive Hack Days
 
Fingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructureFingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare Infrastructure
Positive Hack Days
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Positive Hack Days
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
Positive Hack Days
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
Positive Hack Days
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
Positive Hack Days
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
Ковбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойКовбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградой
Positive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
Positive Hack Days
 
200 open source проектов спустя: опыт статического анализа исходного кода
200 open source проектов спустя: опыт статического анализа исходного кода200 open source проектов спустя: опыт статического анализа исходного кода
200 open source проектов спустя: опыт статического анализа исходного кода
Positive Hack Days
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Positive Hack Days
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
Positive Hack Days
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
Positive Hack Days
 
Использование KASan для автономного гипервизора
Использование KASan для автономного гипервизораИспользование KASan для автономного гипервизора
Использование KASan для автономного гипервизора
Positive Hack Days
 
Защищенность GSM
Защищенность GSMЗащищенность GSM
Защищенность GSM
Positive Hack Days
 
Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»
Positive Hack Days
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Positive Hack Days
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
Positive Hack Days
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
Positive Hack Days
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
Dakiry
 

Weitere ähnliche Inhalte

Andere mochten auch

Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Positive Hack Days
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Positive Hack Days
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
Positive Hack Days
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
Positive Hack Days
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
Positive Hack Days
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Positive Hack Days
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
Positive Hack Days
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
Positive Hack Days
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
Positive Hack Days
 
Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»
Positive Hack Days
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Positive Hack Days
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
Positive Hack Days
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
Positive Hack Days
 

Andere mochten auch (20)

Аспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятииАспекты деятельности инсайдеров на предприятии
Аспекты деятельности инсайдеров на предприятии
 
Fingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare InfrastructureFingerprinting and Attacking a Healthcare Infrastructure
Fingerprinting and Attacking a Healthcare Infrastructure
 
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege EscalationJanitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
Janitor to CISO in 360 Seconds: Exploiting Mechanical Privilege Escalation
 
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПОВосток — дело тонкое, или Уязвимости медицинского и индустриального ПО
Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО
 
Эксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAPЭксплуатируем неэксплуатируемые уязвимости SAP
Эксплуатируем неэксплуатируемые уязвимости SAP
 
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблюNFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
NFC: Naked Fried Chicken / Пентест NFC — вот что я люблю
 
Боремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играхБоремся с читингом в онлайн-играх
Боремся с читингом в онлайн-играх
 
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спастиMagic Box, или Как пришлось сломать банкоматы, чтобы их спасти
Magic Box, или Как пришлось сломать банкоматы, чтобы их спасти
 
Ковбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградойКовбой Энди, Рик Декард и другие охотники за наградой
Ковбой Энди, Рик Декард и другие охотники за наградой
 
DNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense VectorDNS как линия защиты/DNS as a Defense Vector
DNS как линия защиты/DNS as a Defense Vector
 
200 open source проектов спустя: опыт статического анализа исходного кода
200 open source проектов спустя: опыт статического анализа исходного кода200 open source проектов спустя: опыт статического анализа исходного кода
200 open source проектов спустя: опыт статического анализа исходного кода
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защите
 
Вирусы есть? А если найду?
Вирусы есть? А если найду?Вирусы есть? А если найду?
Вирусы есть? А если найду?
 
Обратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai StructОбратная разработка бинарных форматов с помощью Kaitai Struct
Обратная разработка бинарных форматов с помощью Kaitai Struct
 
Использование KASan для автономного гипервизора
Использование KASan для автономного гипервизораИспользование KASan для автономного гипервизора
Использование KASan для автономного гипервизора
 
Защищенность GSM
Защищенность GSMЗащищенность GSM
Защищенность GSM
 
Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»Как «вправить» автомобилю «мозги»
Как «вправить» автомобилю «мозги»
 
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
Exploiting Redundancy Properties of Malicious Infrastructure for Incident Det...
 
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Laterjohn-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
john-devkit: 100 типов хешей спустя / john-devkit: 100 Hash Types Later
 
Псевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисовПсевдобезопасность NFC-сервисов
Псевдобезопасность NFC-сервисов
 

Ähnlich wie SSDL: один день из жизни разработчика

Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
Ontico
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Expolink
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Expolink
 
дерюшкин Agile vector
дерюшкин Agile vectorдерюшкин Agile vector
дерюшкин Agile vector
Magneta AI
 
Agile Vector - внедрение agile разработки в Райффайзенбанке
Agile Vector - внедрение agile разработки в РайффайзенбанкеAgile Vector - внедрение agile разработки в Райффайзенбанке
Agile Vector - внедрение agile разработки в Райффайзенбанке
Alexey Deryushkin
 

Ähnlich wie SSDL: один день из жизни разработчика (20)

Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
DaKiRY_BAQ2016_QADay_Круглий стіл: "Чи помре ручне тестування з часом" Учасни...
 
Постоянные переключения контекста в жизни аналитика
Постоянные переключения контекста в жизни аналитикаПостоянные переключения контекста в жизни аналитика
Постоянные переключения контекста в жизни аналитика
 
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
DevOps-трансформация Альфа-Банка / Антон Исанин (Альфа-Банк)
 
Как сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с AgileКак сделать наши проекты немного более управляемыми с Agile
Как сделать наши проекты немного более управляемыми с Agile
 
5 нспк banki.ru v3
5 нспк banki.ru v35 нспк banki.ru v3
5 нспк banki.ru v3
 
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
Валерий Боронин (Россия), Positive Technologies. SSDL для руководителей: как ...
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
 
How to manage a team to get a successful product in 6 months / Oleg Tuzov (Be...
How to manage a team to get a successful product in 6 months / Oleg Tuzov (Be...How to manage a team to get a successful product in 6 months / Oleg Tuzov (Be...
How to manage a team to get a successful product in 6 months / Oleg Tuzov (Be...
 
Атом Безопасность. Дмитрий Аалмасов. "StaffCop — тотальный контроль сотрудник...
Атом Безопасность. Дмитрий Аалмасов. "StaffCop — тотальный контроль сотрудник...Атом Безопасность. Дмитрий Аалмасов. "StaffCop — тотальный контроль сотрудник...
Атом Безопасность. Дмитрий Аалмасов. "StaffCop — тотальный контроль сотрудник...
 
Scrum Workshop
Scrum WorkshopScrum Workshop
Scrum Workshop
 
низкоуровневое программирование сегодня новые стандарты с++, программирован...
низкоуровневое программирование сегодня новые стандарты с++, программирован...низкоуровневое программирование сегодня новые стандарты с++, программирован...
низкоуровневое программирование сегодня новые стандарты с++, программирован...
 
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
Доктор Веб. Вячеслав Медведев. "Антивирусная защита почтовых серверов и шлюзо...
 
дерюшкин Agile vector
дерюшкин Agile vectorдерюшкин Agile vector
дерюшкин Agile vector
 
Agile Vector - внедрение agile разработки в Райффайзенбанке
Agile Vector - внедрение agile разработки в РайффайзенбанкеAgile Vector - внедрение agile разработки в Райффайзенбанке
Agile Vector - внедрение agile разработки в Райффайзенбанке
 
Как аналитик может помочь в планировании выпуска версий
Как аналитик может помочь в планировании выпуска версийКак аналитик может помочь в планировании выпуска версий
Как аналитик может помочь в планировании выпуска версий
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Фасилитация встреч по работе с требованиями
Фасилитация встреч по работе с требованиями Фасилитация встреч по работе с требованиями
Фасилитация встреч по работе с требованиями
 
Lovely scrum
Lovely scrumLovely scrum
Lovely scrum
 

Mehr von Positive Hack Days

Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
 

Mehr von Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

SSDL: один день из жизни разработчика

  • 1. ptsecurity.com Valery Boronin Один день из жизни разработчика
  • 2. R&D – 20 лет Разработчик режима ядра – мы сделали лучший в мире App & Device Control В команде RSDN, все еще #1 in Low-level?! Безопасность – с прошлого тысячелетия CTO, небольшая компания (30+ чел) Director DLP Research, большая (ЛК) DLP, Encryption, Incident Management Сейчас отвечаю за направление SDL и Строим Application Inspector SSDL Edition 31.05.2016 Positive Hack Days 2016, Moscow 2 Валерий Боронин
  • 3. 1. Вводная 2. Трудности с App Sec Testing (AST) Tools 3. Что можно с этим сделать? 4. Промоделируем новую схему вживую 5. Что имеем по итогу 6. Вопросы и ответы Программа на следующий час 31.05.2016 Positive Hack Days 2016, Moscow 3
  • 4. Лавина Кода Нет людей на отсмотр За разумное время 31.05.2016 Positive Hack Days 2016, Moscow 4 Хьюстон, у нас проблема...
  • 5. Quality – Defects cost huge money and leads to project failures. Security even worse Security is hard to find Security is hard to fix 31.05.2016 Positive Hack Days 2016, Moscow 5 Качество? С безопасностью все еще хуже! HIGHLIGHTS FROM THE 2015 WORLD SW QUALITY REPORT: Security is the most pressing concern
  • 6. Растут риски Качество ниже, чем ожидали Баги проскакивают в продакшн Трудозатраты, расписание, бюджет превышены ... Проект завален увеличиваются потери Более низкие продажи $$$ даже жизни людей 31.05.2016 Positive Hack Days 2016, Moscow 6 В результате
  • 7. 1. +1 консоль, +1 процесс, +1 отчет, ... 2. Пожар в шлеме + нет особо помощи с устранением 3. Заточены под одну роль (или вообще один user) 4. Разрозненный инструментарий + SSDL не цель 5. Ручное иили неудобное использование 6. Задержки + Нет присмотра за процессом 7. Иногда слабовата подводит архитектура 31.05.2016 Positive Hack Days 2016, Moscow 7 Трудности с AST инструментами
  • 8. 1. UI? Лучший интерфейс – его отсутствие! 31.05.2016 Positive Hack Days 2016, Moscow 8
  • 9. 1. Разные проблемы – по разным тикетам 2. Работа по исправлению – в отдельных, специальным образом подготовленных бранчах 31.05.2016 Positive Hack Days 2016, Moscow 9 2. Тушим пожары в шлемах. Совместно! 1 2
  • 10. 31.05.2016 Positive Hack Days 2016, Moscow 10 3. Роли и RBAC Administrator – настроить и назначить на роли Developer – для разработчиков и QA Manager – для руководителей / старших ...дальше – больше :-)
  • 11. 31.05.2016 Positive Hack Days 2016, Moscow 11 4. Помним, куда стремимся!
  • 12. Результаты доставляются ASAP до всех участников процесса их любимым образом, в привычной им форме и даже на их языке Уведомления отчеты в письмах, точнее, UA- уведомлениях • FYA – For Your Action • FYI – кому поспать спокойно 31.05.2016 Positive Hack Days 2016, Moscow 12 5. Любимый инструмент удобно сидит в руке
  • 13. 31.05.2016 Positive Hack Days 2016, Moscow 13 6. Мин. задержки + контроль на линии Непрерывная event-driven защита Установите и контролируйте свои правилаполитику Присмотр за процессом / Подтверждения фиксов
  • 14. AF 31.05.2016 Positive Hack Days 2016, Moscow 14 7. Как это работает – компоненты решения UX- & UA-aware Extensible Secure • RBAC (UI + данные) • Segregation of duty • Least privileges
  • 17. Общаемся через исходный код Группировка и прогресс - привычный трекер Автоматический анализ с эксплоитами и подтверждениями исправлений – облечит отладку и убережет от греха! 31.05.2016 Positive Hack Days 2016, Moscow 18 Выгоды для разработчика
  • 18. Все было понятно? Все было, что Вам нужно? Что-то пропустили? Вопросы и уточнения Идеи Рацпредложения Хочу работать с вами! Пожалуйста, пишите стучите звоните – как Вам удобнее. Если мысль придет позже – тоже ОК! Спасибо за внимание! 31.05.2016 Positive Hack Days 2016, Moscow 19