Было очевидно, что на паре видео мы не остановимся. Пока весь мир поделился на тех, кто ждет Барби и тех, кто ждет Оппенгеймер, предлагаю и нам их немного адаптировать)
#мемнаясреда - просто день посреди недели, когда вы можете принять решение, чего ждете именно вы?)
#мемнаясреда - просто день посреди недели, когда вы можете принять решение, чего ждете именно вы?)
❤8😁4🔥1💯1
Ни одно современное общество не может существовать без архитектуры.
Ни одно приложение не сможет существовать долго без безопасной архитектуры... Пару недель назад очень хорошо зашел пост про моделирование угроз. Подумалось, почему бы не превратить его в цикл подборок полезных материалов?
Как минимум, обогащение знаниями, как максимум - получение новых.
Сегодня у нас на повестке одна из самых спорных, на мой взгляд, тем DevSecOps'ового мира - безопасная архитектура. На легендарных DevOps-восьмерках архитектура будет находится сильно рядом с моделированием угроз, еще до начала непосредственной разработки или доработки. И кажется, что такая важная практика (ну самые сливки Shift Left'а, ну) должна быть проработана вдоль и поперек.
Попробуем прояснить:
https://www.security.gov.uk/guidance/secure-by-design/principles/ - общие принципы при проектировании
https://www.cprime.com/resources/blog/security-by-design-7-principles-you-need-to-know/ - тоже общие принципы
https://patchstack.com/articles/security-design-principles-owasp/ - краткое изложение OWASP Security Design
https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html - OWASP'овские рекомендации по части безопасного дизайна
https://about.gitlab.com/handbook/security/architecture/review.html - описание процесса ревью
https://www.opengroup.org/architecture/togaf7-doc/arch/p4/comp/clists/syseng.htm - чеклист проверок
https://access.atis.org/apps/group_public/download.php/55928/cybersec-2020-00066R000.pdf - как работать с рисками во время архитектурного ревью
https://www.linkedin.com/advice/1/how-do-you-handle-security-risks-threats - просто почитать
#presdl
Ни одно приложение не сможет существовать долго без безопасной архитектуры... Пару недель назад очень хорошо зашел пост про моделирование угроз. Подумалось, почему бы не превратить его в цикл подборок полезных материалов?
Как минимум, обогащение знаниями, как максимум - получение новых.
Сегодня у нас на повестке одна из самых спорных, на мой взгляд, тем DevSecOps'ового мира - безопасная архитектура. На легендарных DevOps-восьмерках архитектура будет находится сильно рядом с моделированием угроз, еще до начала непосредственной разработки или доработки. И кажется, что такая важная практика (ну самые сливки Shift Left'а, ну) должна быть проработана вдоль и поперек.
Попробуем прояснить:
https://www.security.gov.uk/guidance/secure-by-design/principles/ - общие принципы при проектировании
https://www.cprime.com/resources/blog/security-by-design-7-principles-you-need-to-know/ - тоже общие принципы
https://patchstack.com/articles/security-design-principles-owasp/ - краткое изложение OWASP Security Design
https://cheatsheetseries.owasp.org/cheatsheets/Secure_Product_Design_Cheat_Sheet.html - OWASP'овские рекомендации по части безопасного дизайна
https://about.gitlab.com/handbook/security/architecture/review.html - описание процесса ревью
https://www.opengroup.org/architecture/togaf7-doc/arch/p4/comp/clists/syseng.htm - чеклист проверок
https://access.atis.org/apps/group_public/download.php/55928/cybersec-2020-00066R000.pdf - как работать с рисками во время архитектурного ревью
https://www.linkedin.com/advice/1/how-do-you-handle-security-risks-threats - просто почитать
#presdl
UK Government Security - Beta
Secure by Design Principles
The foundations required for embedding cyber security practices in digital delivery and building resilient digital services.
🔥12
Откуда мы?...
За философским названием спрячется, в общем-то, извечный вопрос: ИТ или ИБ? Задать его можно в разных конфигурациях, например:
Кто сверху?
Кто кого?
Кто у кого?
И так далее. В данный момент применительно к нашему комьюнити - откуда вас занесло в безопасность приложенек?
Я, например, выходец из ИТ, поэтому всегда смотрю на безопасность через призму удобства/бизнеса/UX и т.д. А откуда вы?
P.S. Помимо моего праздного интереса, это поможет лучше узнать, какой формат материала тут нужен. Кроме мемов, конечно. Их не тронем😊
За философским названием спрячется, в общем-то, извечный вопрос: ИТ или ИБ? Задать его можно в разных конфигурациях, например:
Кто сверху?
Кто кого?
Кто у кого?
И так далее. В данный момент применительно к нашему комьюнити - откуда вас занесло в безопасность приложенек?
Я, например, выходец из ИТ, поэтому всегда смотрю на безопасность через призму удобства/бизнеса/UX и т.д. А откуда вы?
P.S. Помимо моего праздного интереса, это поможет лучше узнать, какой формат материала тут нужен. Кроме мемов, конечно. Их не тронем😊
⚡7
Друзья-товарищи!
Вдруг вам будет скучно в субботу и вы захотите послушать про безопасную разработку?
Приглашаю вас послушать подкаст, в котором будем затирать про DevSecOps:) начнем совсем с основ - что это/куда/зачем, поэтому должно быть хорошо на широкую аудиторию.
P.S. Это вроде первое мое мероприятие такого формата, так что даже интересно, что получится:)
Вдруг вам будет скучно в субботу и вы захотите послушать про безопасную разработку?
Приглашаю вас послушать подкаст, в котором будем затирать про DevSecOps:) начнем совсем с основ - что это/куда/зачем, поэтому должно быть хорошо на широкую аудиторию.
P.S. Это вроде первое мое мероприятие такого формата, так что даже интересно, что получится:)
jugrugroup.timepad.ru
[SafeCode Live] (Не)безопасная разработка / События на TimePad.ru
Новый подкаст на тему (не)безопасной разработки. Развеем миф о том, что DevSecOps – это очень дорого.
❤6🔥5⚡1🐳1
Друзья, приходите! Поболтаем за AppSec😉
YouTube
[SafeCode Live] (Не)безопасная разработка
Ближайшая конференция: SafeCode 2025, даты будут анонсированы позднее. Подробности: https://jrg.su/hbNqzs
— —
С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++…
— —
С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++…
🔥7
Cloud Attacks.pdf
3.2 MB
Опа, обнаружила, что не делилась с вами интересным документом с описанием аж 60! атак на облачка☁️☁️☁️
По-моему, материал крайне занятный, особенно, если вы уже начали делать хорошее моделирование угроз. Поможет смаппить угрозы, атаки и меры митигации😉
Пользуйтесь на здоровье, как говорится!
#threatmodeling
#guides
#cloudsecurity
По-моему, материал крайне занятный, особенно, если вы уже начали делать хорошее моделирование угроз. Поможет смаппить угрозы, атаки и меры митигации😉
Пользуйтесь на здоровье, как говорится!
#threatmodeling
#guides
#cloudsecurity
❤🔥10🔥3
Как говорится, если вам третий день подряд не хочется на работу - сегодня среда.
Но только не здесь и не у нас. Потому что #мемнаясреда не может быть плохим днем❤️
Но только не здесь и не у нас. Потому что #мемнаясреда не может быть плохим днем❤️
🔥15😁4⚡1🥰1
InfoSec Manual by ACSC (Australian Cyber Security Centre).pdf
4.3 MB
Не пауками и кенгуру едиными!
Австралийские господа стандартизаторы тоже сделали свой ИБ-мануал, который, кстати, хорош.
Очень много и про информационную безопасность в целом, и про харденинг, и про мониторинг - короче, все что помимо AppSec (он тоже есть). Из полезного нам, простым работягам, я бы отметила блок про создание ИБ-документации, supply chain и управление всякими managed структурами (ну и ссылочки на гайды по разработке ПО на 113 странице).
Самая мякотка - это further information под каждым разделом, где просто десятками полезных ссылок на имплементацию и советы.
Однозначно, забрать, перевести, апдейтнуть свою ИБ-стратегию и политику.
#guides
Австралийские господа стандартизаторы тоже сделали свой ИБ-мануал, который, кстати, хорош.
Очень много и про информационную безопасность в целом, и про харденинг, и про мониторинг - короче, все что помимо AppSec (он тоже есть). Из полезного нам, простым работягам, я бы отметила блок про создание ИБ-документации, supply chain и управление всякими managed структурами (ну и ссылочки на гайды по разработке ПО на 113 странице).
Самая мякотка - это further information под каждым разделом, где просто десятками полезных ссылок на имплементацию и советы.
Однозначно, забрать, перевести, апдейтнуть свою ИБ-стратегию и политику.
#guides
❤6
Учитывая количество часовых поясов, у кого-то #мемнаясреда начинается только когда они ложатся спать… представляете, пропустить ее? Я вот нет, поэтому держите😎
😁8⚡1❤1🕊1
Знаете, чего обычно не хватает DevSecOps'у?
Сна, радости и свободного времени, подумаете вы.И будете совершенно правы...
Но на самом деле, не хватает возможности хотя бы чуть-чуть переложить ответственность на другие плечи. Учитывая прелесть всея парадигмы Shift Left - почему-то анализ защищенности или условный пентест выпадает из конвейера как обязательный шаг. А ведь только так можно подтвердить или опровергнуть, что False Negative в вашей аппликухе отсутствует😉
Пара замечательных на мой взгляд материалов, которые можно использовать в регулярной работе. И да, их можно исполнять не только AppSec'ам)
P.S. Hacking guide прям сильно посложнее, лучше начинать с webapp pentest/pentest checklist🫶
Сна, радости и свободного времени, подумаете вы.
Пара замечательных на мой взгляд материалов, которые можно использовать в регулярной работе. И да, их можно исполнять не только AppSec'ам)
P.S. Hacking guide прям сильно посложнее, лучше начинать с webapp pentest/pentest checklist🫶
❤8