Скачать с ютуб Безопасные приложения: SDLC, AppSec, DevSecOps, BSIMM в хорошем качестве

Безопасные приложения: SDLC, AppSec, DevSecOps, BSIMM

Подписывайтесь на этот канал. Заходите за новостями в канал телеграмм Топ Кибербезопасности https://t.me/+HHvIeYkQgyhiMWIy • Безопасность приложения зависит от культуры команды разработчиков. • В видео обсуждается проблема уязвимостей в программном обеспечении и способы их предотвращения. 00:00 Могут ли программисты писать безопасный код? • Для предотвращения уязвимостей предлагается использовать подход "Shift Left", когда безопасность становится ответственностью каждого разработчика. 02:02 Культура безопасности в разработке • Обсуждается, как компании внедряют культуру безопасности в разработку, где каждый программист осознает свою ответственность за выпуск качественного кода. 03:54 Практики безопасного написания кода • Упоминается роль "Security Champion" - специалиста, который берет на себя часть функций по проверке безопасности кода. 04:51 Использование ресурсов для повышения уровня знаний • Упоминается "Open Web Application Security Project" (OWASP), которая предоставляет бесплатные и открытые инструменты, стандарты и методики для улучшения безопасности программного обеспечения. 06:43 Подходы к защите кода • Обсуждаются различные подходы к защите кода, такие как использование "Intrusion Prevention System" (IPS) или "Application Firewall", которые помогают выявить уязвимости на ранних стадиях разработки. • Упоминаются методы анализа исходного кода, такие как "Source Composition Analysis" и "Static Application Security Test", которые помогают выявить уязвимости в коде. 07:39 Методы тестирования безопасности приложений • Статический анализ кода (SAST) - анализ кода на наличие уязвимостей, но может генерировать ложные срабатывания. • Динамический анализ кода (DAST) - тестирование безопасности приложений во время выполнения, может обнаруживать уязвимости, которые могут быть эксплуатированы. • Runtime Application Security Protection (RASP) - обертывание опасных кусков кода специальными проверками безопасности, обеспечивает защиту приложений в реальном времени. 11:28 Использование сторонних библиотек • Software Composition Analysis (SCA) - автоматизированное тестирование используемых библиотек, выявление потенциальных уязвимостей. • Security Infrastructure as Code (SIaC) - управление инфраструктурой безопасности через код, позволяет определять и реализовывать меры безопасности в виде кода. 13:47 Оценка зрелости процессов безопасной разработки • Building Security and Maturity Model (BSIMM) - методология оценки процессов безопасной разработки, определение текущего уровня зрелости и отправной точки для повышения уровня зрелости.