QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування

•

1 gostou•302 visualizações

Це буде огляд підходів до побудови програми безпеки програмного забезпечення в команді розробки або кампанії загалом, доповнений висновками з мого власного досвіду виконання практичних та консультаційних проектів в сфері Application Security.

Educação

Тема доклада
Тема доклада
Тема доклада
KYIV 2019
The sooner the better but never too late
Vlad Styran, Berezha Security
QA CONFERENCE #1 IN UKRAINE

The sooner the better but never too late
or Why software security starts with testing
Who is this guy?
Why security?
What exactly is security?
Why software security sucks?
Who cares about security and when?
How to do as little as possible and stay safe?

Who is this guy?
Vlad Styran, OSCP CISSP CISA
Co-founder & VP, Berezha Security
15+ years of security experience
10+ years in offensive security (AKA hacking)
#OWASPKyiv, #NoNameCon, #NoNamePodcast
Long distance runs, marathon finisher
Formally trained as a “Programmer”, 0 days of related experience
¯_( )_/¯

Constant challenge
Well paid
1,800,000 unfilled jobs
Kind of fun

Daniel Kahneman & Amos Tversky, late 1970’

How to do as
little as
possible and
stay safe?

Core Security Practices
Threat Modeling
Secure
Architecture
Supply Chain
Security
Secure Coding
Security Code
Review
Security Testing
Incident
Response
Annual Third
Party
Penetration Test

“Give a man a fish, and you'll feed him for a day.
Give a fish a man, and you’ve fed it for the lifetime.”
– Sun Tzu

"Give a man a fish, and you'll feed him for a day.
Teach a man to fish, and you've fed him for a lifetime.”
– Confucius

Zero to Hero
Web Application Hacker’s Handbook PortSwigger Web Security Academy

Meetups and Conferences
OWASP Ukraine ! applica1on security conference (Oct 4-5, 2019)
OWASP chapters: Kyiv, Lviv, Dnipro, Kharkiv, Zhytomyr… (JGI)
DefCon groups, local security communi1es (ask around)
Security BSides conferences and meetups (call you dealer)
NoNameCon ♥ prac1cal cybersecurity conference (3rd week of May)

How you find me
@arunninghacker
fb.me/vstyran
berezhasecurity.com

Mais conteúdo relacionado

Mais procurados

There’s no guarantee that software will ever be free from vulnerabilities, whether it is open source or proprietary, but there is still plenty we can do. The Linux Foundation CTO Nicko van Someren will discuss new tools and techniques that help improve the security and quality of open source projects, presenting data from various open source projects including pre- and post-Heartbleed OpenSSL. (Source : RSA Conference USA 2017)

Collaborative security : Securing open source software

Priyanka Aash

In the last few years of AppSec and DevOps, we've heard the calls to shift left. But how far left can we go, and is it really going to help eliminate exploitable bugs or scale your AppSec program? What if we consider a different direction, shifting right! Can a focus on shifting to the right be more effective in mitigating real-world threats and prioritization? In this presentation, I'll explore these questions and propose concepts that show why shifting right is right! 

The left is not wrong, just not right; It's time to shift right!

Phillip Maddux

Shift Left. Wait, what? No, Shift Right!!!

Phillip Maddux

We know we need to identify and protect critical assets. But how? If your company develops a multitude of hardware and software products in a global environment it is very challenging. This session will describe how we approached the design and building of a Secure Development Environment (SDE), giving you a jump start your own SDE using our lessons learned to help balance security and productivity. (Source : RSA Conference USA 2017)

A worldwide journey to build a secure development environment

Priyanka Aash

[Webinar] Building a Product Security Incident Response Team: Learnings from ...

bugcrowd

Vulnerability management and threat detection by the numbers

Eoin Keary

The R.O.A.D to DevOps

SeniorStoryteller

SecOps Armageddon: A look into the future of security & operations

Phillip Maddux

Silver Lining for Miles: DevOps for Building Security Solutions

SeniorStoryteller

Amy DeMartine - 7 Habits of Rugged DevOps

SeniorStoryteller

Security at Scale - Lessons from Six Months at Yahoo

Alex Stamos

DEVSECOPS: Coding DevSecOps journey

Jason Suttie

Modern systems pose a number of thorny challenges and securing the transformation from legacy monolithic systems to distributed systems demands a change in mindset and engineering toolkit. The security engineering toolkit is unfortunately out-of-style and outdated with today's approach to building, security and operating distributed systems. Distributed systems at scale have unpredictable and complex outcomes that are costly when security incidents occur. The speed, scale, and complex operations within microservice architectures make them tremendously difficult for humans to mentally model their behavior. If the latter is even remotely true how is it possible to adequately secure services that are not even fully comprehended by the engineering teams that built them. How do we realign the actual state of operational security measures to maintain an acceptable level of confidence that our security actually works.

Pivotal APJ Security Chaos Engineering

Aaron Rinehart

Deception in Cyber Security (League of Women in Cyber Security)

Phillip Maddux

Secure Software Development Lifecycle - Devoxx MA 2018

Imola Informatica

DevSecOps Days Istanbul 2020 Security Chaos Engineering

Aaron Rinehart

[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух

OWASP Russia

5 Tips to Successfully Running a Bug Bounty Program

bugcrowd

Mais procurados (18)

Collaborative security : Securing open source software

The left is not wrong, just not right; It's time to shift right!

Shift Left. Wait, what? No, Shift Right!!!

A worldwide journey to build a secure development environment

[Webinar] Building a Product Security Incident Response Team: Learnings from ...

Vulnerability management and threat detection by the numbers

The R.O.A.D to DevOps

SecOps Armageddon: A look into the future of security & operations

Silver Lining for Miles: DevOps for Building Security Solutions

Amy DeMartine - 7 Habits of Rugged DevOps

Security at Scale - Lessons from Six Months at Yahoo

DEVSECOPS: Coding DevSecOps journey

Pivotal APJ Security Chaos Engineering

Deception in Cyber Security (League of Women in Cyber Security)

Secure Software Development Lifecycle - Devoxx MA 2018

DevSecOps Days Istanbul 2020 Security Chaos Engineering

[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух

5 Tips to Successfully Running a Bug Bounty Program

Semelhante a QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування

How to Secure America

SecurityStudio

Human is an amateur; the monkey is an expert. How to stop trying to secure yo...

Vlad Styran

Charting a Career in Information Security - August 2020

JayTymchuk

WANTED – People Committed to Solving our Information Security Language Problem

SecurityStudio

Basic of SSDLC

Chitpong Wuttanan

Secure Application Development Training

pivotalsecurity

wannabe Cyberpunk; “I don’t know what I’m supposed to do.”

Moshiul Islam, CISSP, CISA, CFE

First presented at Cloud Security World in Boston on June 15th, 2016. Once upon a time, walls were erected between the Linux/UNIX crowd, Windows admins and the mainframers. Each architecture had its place and its experts, and they rarely mixed. This time around, we didn’t just get a new domain, we got a new way of doing IT and running businesses. Cloud has created new opportunities and DevOps has capitalized on them. The result of this combination is so unrecognizable that it isn’t uncommon to see IT organizations split down the middle by the new and old approaches. As DevOps continues to gain in popularity, the same split is occurring in the security workforce. Will the traditional security practitioner be in danger of becoming obsolete?

Cloud, DevOps and the New Security Practitioner

Adrian Sanabria

Cybersecurity career options & Getting started

Balaji Rajasekaran

Moti Sagey CPX keynote _Are All security products created equal

Moti Sagey מוטי שגיא

Гірка правда про безпеку програмного забезпечення, Володимир Стиран

Sigma Software

SAMBA - Luka Pavol - 12.3.2014

Anton Bittner

So... you want to be a security consultant

abnmi

Sect f41

SelectedPresentations

What would you say if your boss came up to you and asked, "How secure are we?" It’s an apparently simple question, yet extremely difficult to answer. We posed this question to attendees of the Tenable ISE VIP Welcome Reception with T.E.N. the night before the launch of the RSA Conference 2015. Check out their answers here, or in video format at: http://bit.ly/how-secure --- Security professionals featured in this slideshare: Chris Egaaen Jennifer Graham Jay Schwitzgebel Steven Lodin Rhonda Simmon Tony Zirnoon Christina Critzer David Rooker John Graham Bill Olson Alex Hutton Kenneth Haertling David Mortman Greg Press Ron Gula

When your CEO asks, "Are we secure?" what do you say?

Tenable Network Security

Lviv IT Arena is a conference specially designed for programmers, designers, developers, top managers, inverstors, entrepreneur and startuppers. Annually it takes place on 2-4 of October in Lviv at the Arena Lviv stadium. In 2015 conference gathered more than 1400 participants and over 100 speakers from companies like Facebook. FitBit, Mail.ru, HP, Epson and IBM. More details about conference at itarene.lviv.ua.

Security as a New Metric for Your Business, Product and Development Lifecycle...

IT Arena

Security as a new metric for Business, Product and Development Lifecycle

Nazar Tymoshyk, CEH, Ph.D.

Why 'positive security' is a software security game changer

Jaap Karan Singh

FRSecure has a goal of changing a broken industry. There are many ways to accomplish this endeavor such as setting high assessment standards, using proprietary reporting methods that are easy to understand to hiring expert talent just to name a few. However, one unique approach FRSecure uses to bring about change is our CISSP Mentor Program. By design the program is provided at no cost to anyone with an interest in the information security industry.

Slide Deck - CISSP Mentor Program Class Session 1

FRSecure

Navigating Cybersecurity

Segun Ebenezer Olaniyan

Semelhante a QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування (20)

How to Secure America

Human is an amateur; the monkey is an expert. How to stop trying to secure yo...

Charting a Career in Information Security - August 2020

WANTED – People Committed to Solving our Information Security Language Problem

Basic of SSDLC

Secure Application Development Training

wannabe Cyberpunk; “I don’t know what I’m supposed to do.”

Cloud, DevOps and the New Security Practitioner

Cybersecurity career options & Getting started

Moti Sagey CPX keynote _Are All security products created equal

Гірка правда про безпеку програмного забезпечення, Володимир Стиран

SAMBA - Luka Pavol - 12.3.2014

So... you want to be a security consultant

Sect f41

When your CEO asks, "Are we secure?" what do you say?

Security as a New Metric for Your Business, Product and Development Lifecycle...

Security as a new metric for Business, Product and Development Lifecycle

Why 'positive security' is a software security game changer

Slide Deck - CISSP Mentor Program Class Session 1

Navigating Cybersecurity

Mais de QAFest

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин

QAFest

Мы уже разговаривали о self-healing автоматизации, как она работает, какие есть подходы, чем они хороши, плохи и о новом инструменте, который мы разрабатываем в EPAM. Наш продукт завершает стадию POC и настало время поделиться результатами и понять, насколько self-healing автоматизация поможет вашим тестам стать стабильнее? Или наоборот, навредит?... Приходи и узнаешь!

QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future

QAFest

Mobile apps and websites are now the predominant ways that users interact with brands. Research has shown that slow sites and apps lose customer engagement. Despite this, most mobile sites and apps have performance issues that can be easily resolved once diagnosed. In this talk, we will walk through steps to diagnose network performance bottlenecks in mobile services. We'll discuss real-world examples and how they were resolved. Attendees will leave this talk armed with the tools to test, diagnose and resolve the top network performance issues that affect mobile today.

QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...

QAFest

Раньше мы в Badoo фокусировались в основным на ручном тестировании. Получался этакий дедлок мануальной регрессии: не было времени, чтоб писать тесты, потому что много тестировали руками, а много тестировали руками, потому что не было автотестов. Но мы смогли наладить свою систему автоматизации и процессы, разорвали этот порочный круг и начали писать годные тесты. В своем докладе я расскажу, как нам удалось сократить ручную регрессию с 90% до 30% рабочего времени, при этом сохранить достойный уровень качества и профессионально вырасти!

QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...

QAFest

Вам знаком термин mindshift? Именно его вы испытаете от этого доклада. Он будет не о QA процессах или инструментах, он будет о деньгах и бизнесе, о рисках и коммуникациях. Все это с примерами из Украинского и мировом IT в формате живого общения с аудиторией.

QA Fest 2019. Никита Галкин. Как зарабатывать больше

QAFest

QA Fest 2019. Сергей Пирогов. Why everything is spoiled

QAFest

QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием

QAFest

Для разработки современных программных решений необходимо обеспечить эффективную систему тестирования, которая состоит из большого количества компонентов и задает требования ко всем этапам разработки. Владимир Никонов, руководитель департамента разработки платформы в Terrasoft, эксперт в области проектирования приложений с опытом работы более 10 лет, поделится экспертным мнением с участниками QA Fest и расскажет: - об инструментах и процессах на каждом этапе создания и поставки функциональности: от unit-тестов до нефункционального тестирования; - о требования к инструментам тестирования и компетенциям команды QA-инженеров, которые необходимо выдвигать на каждом этапе тестирования; - как внедрять современные подходы в существующий проект с минимальными затратами; - как развивать команду и процессы тестирования в целом.

QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...

QAFest

Доклад посвящен автоматизации тестирования WEB-приложений с SVG-графикой. В 1-ой части доклада даны короткое описание процессов разрабатываемого приложения и обоснование необходимости применения SVG-графики. Во 2-ой части сделан короткий обзор SVG-графики, показаны основные преимущества/недостатки такого типа графики, сделан обзор основных SVG-поверхностей и рассмотрен процесс их трансформации с помощью матрицы преобразования с разбором ее основных типов. В 3-ей части обозначены основные проблемы автоматизации действий с SVG-графикой, такие как drag’n’drop графических объектов (SVG на SVG), их масштабирование при помощи колесика мышки и выделение ломаный линий. В 4-ой части показаны решения обозначенных проблем с использованием JavaScript.

QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...

QAFest

Browser tests are known to be the flakiest ones. This is partly because browser infrastructure is complicated to maintain. But the second reason is – mainstream browser automation tools such as Selenium server are far from being efficient. A year ago I have shown Selenoid - a truly efficient replacement of the standard Selenium server. This year I would like to demonstrate how to organize a fault-tolerant and easily scalable Selenium cluster using virtual machines in the cloud. I will start by setting up several Selenoid nodes and configure them to send logs and recorded videos to S3-compatible storage. Then I will run multiple Ggr load balancer instances allowing to use all running Selenoid nodes and organize a single entry point to the cluster. Finally, we'll discuss how to work with VNC and video recording in such a cluster.

QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster

QAFest

Случалось ли вам запускать автоматизацию на проекте? Испытывать непревзойденное удовольствие от необходимости собеседовать технического специалиста, когда сам не имеешь технического опыта? Если да, то этот доклад для вас. Мы научимся анализировать сеньорность кандитата, его технический уровень и способность к организации команд. Но самое главное - все это мы сможем достичь без серьезного технического опыта. Будет интересно, заходи на огонек!

QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...

QAFest

Веб-приложения и технологии стремительно развиваются. Мы уже вступили в эру Single Page Application и идем к Progressive Web Application. В большинстве современных проектов идет разделение команд на front-end и back-end, и не только команд, но идет раздельная релизная политика. Это требует более детальных подходов к тестированию front-end. В этом докладе мы рассмотрим кейсы, который есть на практике при тестировании задач front-end и инструменты автоматизации, которые могут решать задачи описанные в этих кейсах: чтение request/response browser network и соответственно мокирование response.

QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation

QAFest

Проектирование и производство медицинских устройств — это регулируемый бизнес. Государственные органы во всем мире призваны гарантировать безопасность и эффективность медицинских устройств. Несоответствие нормативным требованиям ставит под угрозу жизнь и здоровье человека. Как медицинское регулирование влияет на рабочий процесс компании производителя? Мы поговорим о том, какие вызовы стоят перед тестировщиком медицинского софта, а также какие возможности при этом открываются.

QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...

QAFest

Про «тестабилити» в последнее время говорят часто, зачастую говорят в рамках способности тестировать тот или иной функционал. А иногда и ограничиваются только возможностью автоматизировать. Существует техника “10P тестируемости”, которая используется для оптимизации процесса разработки, как инструмент анализа и настройки процессов для достижения успеха на проекте в целом. Вот об этом и поговорим.

QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...

QAFest

Твою гениальность не замечает никто кроме мамы? Идеи и проекты нравятся только твоему коту? Одногруппники уже руководители подразделений, а ты завис между middle и senior? Пришло время найти баги не только на проекте, но и в своей голове! Прокачаем коммуникативные навыки:)

QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT

QAFest

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

QAFest

Маючи досвід роботи з іноземними замовниками і колегами, а також вивчаючи культурні особливості жителів інших країн, ми якось поставили собі за мету з'ясувати, якими українців бачать іноземці, чи потрібно їм підлаштовуватись під нашу манеру спілкування, чи є щось, що вони зовсім не можуть прийняти. Поділимося з вами результатами цієї затії, а також поговоримо про: - те, що потрібно знати українцям про свої софт скіли, - то, як відрізняються софт скіли українців і жителів кількох інших країн, - важливість софт скілів для успішних комунікацій з іноземними колегами, - важливість софт скілів для просування по кар'єрі.

QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...

QAFest

Обычно в процессе нагрузочного тестирование необходимые app-side метрики(response time, throughput, ..) можно получить прямо в генераторе нагрузки. Мы шлем запрос, получаем респонс и зачастую время выполнения запроса это и есть то что нам нужно. Но что если после того как сервер отдал вам ответ происходит еще ряд асинхронных операций, время выполнения которых нам необходимо проверить? Как замерить время выполнения этих запросов? Какая часть системы является узким местом в производительности? В докладе рассмотрим какие челенжи появляются в такой ситуации и как их можно решить.

QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...

QAFest

Хотели бы вы, чтобы в Украине происходило больше QA ивентов? Чувствуете, что их не хватает? Знаете, кто может это изменить? - Вы! Я поделюсь подходами, которые мы использовали при организации QA хакатонов в Wix, которыми завтра вы сможете воспользоваться для создания вашего крутого ивента!

QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22

QAFest

Параллельно с развитием ИТ индустрии, профессия тестировщика еволюционувала очень сильно - от "monkey testing" обязанностей, для уменьшения нагрузки на разработчиков, к профессии способной зарабатывать больше чем эти же разработчики. Обеспечения качества в сегодняшние дни, это не просто провести регрессию и, даже, не автоматизировать ее. Это улучшение всех этапов разработки продукта, и тестировщики нового поколения действительно способны это сделать. Мы обсудим этот путь эволюции, рассмотрим все их составляющие и причины. Я расскажу, как можно строить культуру QA в организации и развивать тестировщиков 3.0.

QA Fest 2019. Евгений Рудев. QA 3.0. New generation

QAFest

Mais de QAFest (20)