Enviar pesquisa
Carregar
Антон Карпов. Как внедрить SDLC в интернет-компании
•
0 gostou
•
740 visualizações
Positive Hack Days
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 24
Recomendados
Максим Гуртовенко - The future is wild | HappyDev'12
Максим Гуртовенко - The future is wild | HappyDev'12
HappyDev
RealSpeaker в цифрах
RealSpeaker в цифрах
RealSpeaker 2.0
1. Основные понятия и определения: продукт, пакет, связи между ними. 2. Как узнать, какие изменения произошли в продукте? 3. Проблемы changelog и release note. 4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
1. Обзор Windows Docker (кратко) 2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc) 3. Примеры Dockerfile (выложенные на github) 4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
1. Проблемы в построении CI процессов в компании 2. Структура типовой сборки 3. Пример реализации типовой сборки 4. Плюсы и минусы от использования типовой сборки
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
1. Что такое BI. Зачем он нужен. 2. Что такое Qlik View / Sense 3. Способ интеграции. Как это работает. 4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды. 5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
Positive Hack Days
1. Для чего нужны анализаторы кода 2. Что такое SonarQube 3. Принципе работы 4. Поддержка языков 5. Что находит 6. Метрики, снимаемые с кода
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
1. Обзор инструментов в сообществе DevOpsHQ: https://github.com/devopshq и решаемые ими проблемы. 2. Планы развития сообщества DevOpsHQ.
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
Recomendados
Максим Гуртовенко - The future is wild | HappyDev'12
Максим Гуртовенко - The future is wild | HappyDev'12
HappyDev
RealSpeaker в цифрах
RealSpeaker в цифрах
RealSpeaker 2.0
1. Основные понятия и определения: продукт, пакет, связи между ними. 2. Как узнать, какие изменения произошли в продукте? 3. Проблемы changelog и release note. 4. Решение: инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Positive Hack Days
1. Обзор Windows Docker (кратко) 2. Как мы построили систему билда приложений в Docker (Visual Studio\Mongo\Posgresql\etc) 3. Примеры Dockerfile (выложенные на github) 4. Отличия процессов DockerWindows от DockerLinux (Долгий билд, баги, remote-регистр.)
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
Positive Hack Days
1. Проблемы в построении CI процессов в компании 2. Структура типовой сборки 3. Пример реализации типовой сборки 4. Плюсы и минусы от использования типовой сборки
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
Positive Hack Days
1. Что такое BI. Зачем он нужен. 2. Что такое Qlik View / Sense 3. Способ интеграции. Как это работает. 4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды. 5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
Positive Hack Days
1. Для чего нужны анализаторы кода 2. Что такое SonarQube 3. Принципе работы 4. Поддержка языков 5. Что находит 6. Метрики, снимаемые с кода
Использование анализатора кода SonarQube
Использование анализатора кода SonarQube
Positive Hack Days
1. Обзор инструментов в сообществе DevOpsHQ: https://github.com/devopshq и решаемые ими проблемы. 2. Планы развития сообщества DevOpsHQ.
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
Positive Hack Days
1. Методика 2. Практика 3. Перспективы
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений? На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
В рамках PDUG
Формальные методы защиты приложений
Формальные методы защиты приложений
Positive Hack Days
В рамках PDUG
Эвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
В рамках PDUG
Теоретические основы Application Security
Теоретические основы Application Security
Positive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей. К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных. Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
Формальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
В рамках PDUG
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Доклад SiteSecure
Доклад SiteSecure
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Эффективный контроль сотрудников
Эффективный контроль сотрудников
Positive Hack Days
В рамках секции: (Не)безопасность интернета вещей
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в Enterprise
Positive Hack Days
К началу 2016 года у многих сложилось впечатление, что проблема DDoS-атак исчерпала себя — настолько тривиальными выглядели сами атаки и меры по защите от них. Спустя год ситуация кардинально изменилась. Обсудим эти изменения, их причины, предпосылки и последствия, а также их взаимосвязь с развитием IoT.
DDoS-атаки в 2016–2017: переворот
DDoS-атаки в 2016–2017: переворот
Positive Hack Days
Mais conteúdo relacionado
Mais de Positive Hack Days
1. Методика 2. Практика 3. Перспективы
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Positive Hack Days
Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Positive Hack Days
Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений? На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Positive Hack Days
В рамках PDUG
Формальные методы защиты приложений
Формальные методы защиты приложений
Positive Hack Days
В рамках PDUG
Эвристические методы защиты приложений
Эвристические методы защиты приложений
Positive Hack Days
В рамках PDUG
Теоретические основы Application Security
Теоретические основы Application Security
Positive Hack Days
Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Positive Hack Days
Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей. К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Positive Hack Days
Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных. Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Positive Hack Days
Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.
Формальная верификация кода на языке Си
Формальная верификация кода на языке Си
Positive Hack Days
В рамках PDUG
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Positive Hack Days
В рамках секции: ИБ в АСУ ТП
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Доклад SiteSecure
Доклад SiteSecure
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Positive Hack Days
В рамках секции: Инновации в средствах защиты и проверки защищенности
Эффективный контроль сотрудников
Эффективный контроль сотрудников
Positive Hack Days
В рамках секции: (Не)безопасность интернета вещей
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в Enterprise
Positive Hack Days
К началу 2016 года у многих сложилось впечатление, что проблема DDoS-атак исчерпала себя — настолько тривиальными выглядели сами атаки и меры по защите от них. Спустя год ситуация кардинально изменилась. Обсудим эти изменения, их причины, предпосылки и последствия, а также их взаимосвязь с развитием IoT.
DDoS-атаки в 2016–2017: переворот
DDoS-атаки в 2016–2017: переворот
Positive Hack Days
Mais de Positive Hack Days
(20)
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Автоматизация построения правил для Approof
Автоматизация построения правил для Approof
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
Формальные методы защиты приложений
Формальные методы защиты приложений
Эвристические методы защиты приложений
Эвристические методы защиты приложений
Теоретические основы Application Security
Теоретические основы Application Security
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
Формальная верификация кода на языке Си
Формальная верификация кода на языке Си
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
Доклад SiteSecure
Доклад SiteSecure
Практический опыт защиты финансовых транзакций клиентов Банка
Практический опыт защиты финансовых транзакций клиентов Банка
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Решение SafeTouch — доверенный экран для безопасного подтверждения банковских...
Эффективный контроль сотрудников
Эффективный контроль сотрудников
Подход к обеспечению безопасности IoT в Enterprise
Подход к обеспечению безопасности IoT в Enterprise
DDoS-атаки в 2016–2017: переворот
DDoS-атаки в 2016–2017: переворот
Антон Карпов. Как внедрить SDLC в интернет-компании
1.
2.
Антон Карпов Руководитель службы
ИБ Как внедрить SDLC в интернет-компании
3.
SDLC. WTF?
4.
SDLC. WTF?
5.
SDLC. WTF?
6.
SDLC и зрелость
компании
7.
8.
9.
10.
Мотивации для SDLC
11.
Мотивации для SDLC
12.
Эволюция SDLC
13.
Эволюция SDLC
14.
Эволюция SDLC
15.
Анализ исходного кода “Security
is decided by quality” -- Theo de Raadt
16.
Правило №1: анализ
кода – это для разработчиков, а не для безопасников!
17.
18.
Правило №2: выстраивай
адекватный процесс работы с анализатором кода!
19.
20.
21.
Краудсорсинг тестирования
22.
«Охота за ошибками» •
8 месяцев прошло • 500 уязвимостей обнаружено • 2,000,000 рублей выплачено
23.
219 67 49 12 11 7 135 Первые 8 месяцев
«Охоты за ошибками» XSS CSRF Open Redirect XXE SSRF SQLi Прочее
24.
Антон Карпов CISO a.karpov@yandex-team.ru Обязательный заключительный
слайд со словом Спасибо