#мемнаясреда - луч света в темном царстве. Ну, или как минимум, луч света в дождливый день)
❤12😁11🔥4⚡2😎2👍1
Welcome on board, получается?
CVSS 4.0 прибыло. Уже в предварительной версии, которую показал FIRST все выглядит вкусно!
Во-первых, непонятной time-метрики не будет, зато появятся новые факторы для расчета критичности - требования к атаке (AT) и взаимодействие с пользователем (UI). Еще, будет оценка влияния на ИТ-ландшафт компании.
Звучит круто, а как получится - хто его знает!
В любом случае, следим за обновлениями и ждем апдейтов😉
CVSS 4.0 прибыло. Уже в предварительной версии, которую показал FIRST все выглядит вкусно!
Во-первых, непонятной time-метрики не будет, зато появятся новые факторы для расчета критичности - требования к атаке (AT) и взаимодействие с пользователем (UI). Еще, будет оценка влияния на ИТ-ландшафт компании.
Звучит круто, а как получится - х
В любом случае, следим за обновлениями и ждем апдейтов😉
FIRST — Forum of Incident Response and Security Teams
Common Vulnerability Scoring System
🔥8👏1
Было очевидно, что на паре видео мы не остановимся. Пока весь мир поделился на тех, кто ждет Барби и тех, кто ждет Оппенгеймер, предлагаю и нам их немного адаптировать)
#мемнаясреда - просто день посреди недели, когда вы можете принять решение, чего ждете именно вы?)
#мемнаясреда - просто день посреди недели, когда вы можете принять решение, чего ждете именно вы?)
❤8😁4🔥1💯1
Ни одно современное общество не может существовать без архитектуры.
Ни одно приложение не сможет существовать долго без безопасной архитектуры... Пару недель назад очень хорошо зашел пост про моделирование угроз. Подумалось, почему бы не превратить его в цикл подборок полезных материалов?
Как минимум, обогащение знаниями, как максимум - получение новых.
Сегодня у нас на повестке одна из самых спорных, на мой взгляд, тем DevSecOps'ового мира - безопасная архитектура. На легендарных DevOps-восьмерках архитектура будет находится сильно рядом с моделированием угроз, еще до начала непосредственной разработки или доработки. И кажется, что такая важная практика (ну самые сливки Shift Left'а, ну) должна быть проработана вдоль и поперек.
Попробуем прояснить:
https://www.security.gov.uk/guidance/secure-by-design/principles/ - общие принципы при проектировании
https://www.cprime.com/resources/blog/security-by-design-7-principles-you-need-to-know/ - тоже общие принципы
https://patchstack.com/articles/security-design-principles-owasp/ - краткое изложение OWASP Security Design
https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html - OWASP'овские рекомендации по части безопасного дизайна
https://about.gitlab.com/handbook/security/architecture/review.html - описание процесса ревью
https://www.opengroup.org/architecture/togaf7-doc/arch/p4/comp/clists/syseng.htm - чеклист проверок
https://access.atis.org/apps/group_public/download.php/55928/cybersec-2020-00066R000.pdf - как работать с рисками во время архитектурного ревью
https://www.linkedin.com/advice/1/how-do-you-handle-security-risks-threats - просто почитать
#presdl
Ни одно приложение не сможет существовать долго без безопасной архитектуры... Пару недель назад очень хорошо зашел пост про моделирование угроз. Подумалось, почему бы не превратить его в цикл подборок полезных материалов?
Как минимум, обогащение знаниями, как максимум - получение новых.
Сегодня у нас на повестке одна из самых спорных, на мой взгляд, тем DevSecOps'ового мира - безопасная архитектура. На легендарных DevOps-восьмерках архитектура будет находится сильно рядом с моделированием угроз, еще до начала непосредственной разработки или доработки. И кажется, что такая важная практика (ну самые сливки Shift Left'а, ну) должна быть проработана вдоль и поперек.
Попробуем прояснить:
https://www.security.gov.uk/guidance/secure-by-design/principles/ - общие принципы при проектировании
https://www.cprime.com/resources/blog/security-by-design-7-principles-you-need-to-know/ - тоже общие принципы
https://patchstack.com/articles/security-design-principles-owasp/ - краткое изложение OWASP Security Design
https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html - OWASP'овские рекомендации по части безопасного дизайна
https://about.gitlab.com/handbook/security/architecture/review.html - описание процесса ревью
https://www.opengroup.org/architecture/togaf7-doc/arch/p4/comp/clists/syseng.htm - чеклист проверок
https://access.atis.org/apps/group_public/download.php/55928/cybersec-2020-00066R000.pdf - как работать с рисками во время архитектурного ревью
https://www.linkedin.com/advice/1/how-do-you-handle-security-risks-threats - просто почитать
#presdl
UK Government Security - Beta
Secure by Design Principles
The foundations required for embedding cyber security practices in digital delivery and building resilient digital services.
🔥12
Откуда мы?...
За философским названием спрячется, в общем-то, извечный вопрос: ИТ или ИБ? Задать его можно в разных конфигурациях, например:
Кто сверху?
Кто кого?
Кто у кого?
И так далее. В данный момент применительно к нашему комьюнити - откуда вас занесло в безопасность приложенек?
Я, например, выходец из ИТ, поэтому всегда смотрю на безопасность через призму удобства/бизнеса/UX и т.д. А откуда вы?
P.S. Помимо моего праздного интереса, это поможет лучше узнать, какой формат материала тут нужен. Кроме мемов, конечно. Их не тронем😊
За философским названием спрячется, в общем-то, извечный вопрос: ИТ или ИБ? Задать его можно в разных конфигурациях, например:
Кто сверху?
Кто кого?
Кто у кого?
И так далее. В данный момент применительно к нашему комьюнити - откуда вас занесло в безопасность приложенек?
Я, например, выходец из ИТ, поэтому всегда смотрю на безопасность через призму удобства/бизнеса/UX и т.д. А откуда вы?
P.S. Помимо моего праздного интереса, это поможет лучше узнать, какой формат материала тут нужен. Кроме мемов, конечно. Их не тронем😊
⚡7
Друзья-товарищи!
Вдруг вам будет скучно в субботу и вы захотите послушать про безопасную разработку?
Приглашаю вас послушать подкаст, в котором будем затирать про DevSecOps:) начнем совсем с основ - что это/куда/зачем, поэтому должно быть хорошо на широкую аудиторию.
P.S. Это вроде первое мое мероприятие такого формата, так что даже интересно, что получится:)
Вдруг вам будет скучно в субботу и вы захотите послушать про безопасную разработку?
Приглашаю вас послушать подкаст, в котором будем затирать про DevSecOps:) начнем совсем с основ - что это/куда/зачем, поэтому должно быть хорошо на широкую аудиторию.
P.S. Это вроде первое мое мероприятие такого формата, так что даже интересно, что получится:)
jugrugroup.timepad.ru
[SafeCode Live] (Не)безопасная разработка / События на TimePad.ru
Новый подкаст на тему (не)безопасной разработки. Развеем миф о том, что DevSecOps – это очень дорого.
❤6🔥5⚡1🐳1
Друзья, приходите! Поболтаем за AppSec😉
YouTube
[SafeCode Live] (Не)безопасная разработка
Ближайшая конференция: SafeCode 2025, даты будут анонсированы позднее. Подробности: https://jrg.su/hbNqzs
— —
С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++…
— —
С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++…
🔥7
Cloud Attacks.pdf
3.2 MB
Опа, обнаружила, что не делилась с вами интересным документом с описанием аж 60! атак на облачка☁️☁️☁️
По-моему, материал крайне занятный, особенно, если вы уже начали делать хорошее моделирование угроз. Поможет смаппить угрозы, атаки и меры митигации😉
Пользуйтесь на здоровье, как говорится!
#threatmodeling
#guides
#cloudsecurity
По-моему, материал крайне занятный, особенно, если вы уже начали делать хорошее моделирование угроз. Поможет смаппить угрозы, атаки и меры митигации😉
Пользуйтесь на здоровье, как говорится!
#threatmodeling
#guides
#cloudsecurity
❤🔥10🔥3
Как говорится, если вам третий день подряд не хочется на работу - сегодня среда.
Но только не здесь и не у нас. Потому что #мемнаясреда не может быть плохим днем❤️
Но только не здесь и не у нас. Потому что #мемнаясреда не может быть плохим днем❤️
🔥15😁4⚡1🥰1