Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

SSDL: один день из жизни разработчика

436 views

Published on

Ведущий: Валерий Боронин

Как облегчить для разработчика процесс анализа исходного кода на стадии реализации по SDL/SSDL и как интегрировать инструменты анализа, чтобы уменьшить затраты на исправление ошибок? Иногда лучшее решение — это отсутствие пользовательского интерфейса! Приходите, чтобы увидеть взаимодействие Человека с Машиной через исходный код.

Published in: Technology
  • Be the first to comment

SSDL: один день из жизни разработчика

  1. 1. ptsecurity.com Valery Boronin Один день из жизни разработчика
  2. 2. R&D – 20 лет Разработчик режима ядра – мы сделали лучший в мире App & Device Control В команде RSDN, все еще #1 in Low-level?! Безопасность – с прошлого тысячелетия CTO, небольшая компания (30+ чел) Director DLP Research, большая (ЛК) DLP, Encryption, Incident Management Сейчас отвечаю за направление SDL и Строим Application Inspector SSDL Edition 31.05.2016 Positive Hack Days 2016, Moscow 2 Валерий Боронин
  3. 3. 1. Вводная 2. Трудности с App Sec Testing (AST) Tools 3. Что можно с этим сделать? 4. Промоделируем новую схему вживую 5. Что имеем по итогу 6. Вопросы и ответы Программа на следующий час 31.05.2016 Positive Hack Days 2016, Moscow 3
  4. 4. Лавина Кода Нет людей на отсмотр За разумное время 31.05.2016 Positive Hack Days 2016, Moscow 4 Хьюстон, у нас проблема...
  5. 5. Quality – Defects cost huge money and leads to project failures. Security even worse Security is hard to find Security is hard to fix 31.05.2016 Positive Hack Days 2016, Moscow 5 Качество? С безопасностью все еще хуже! HIGHLIGHTS FROM THE 2015 WORLD SW QUALITY REPORT: Security is the most pressing concern
  6. 6. Растут риски Качество ниже, чем ожидали Баги проскакивают в продакшн Трудозатраты, расписание, бюджет превышены ... Проект завален увеличиваются потери Более низкие продажи $$$ даже жизни людей 31.05.2016 Positive Hack Days 2016, Moscow 6 В результате
  7. 7. 1. +1 консоль, +1 процесс, +1 отчет, ... 2. Пожар в шлеме + нет особо помощи с устранением 3. Заточены под одну роль (или вообще один user) 4. Разрозненный инструментарий + SSDL не цель 5. Ручное иили неудобное использование 6. Задержки + Нет присмотра за процессом 7. Иногда слабовата подводит архитектура 31.05.2016 Positive Hack Days 2016, Moscow 7 Трудности с AST инструментами
  8. 8. 1. UI? Лучший интерфейс – его отсутствие! 31.05.2016 Positive Hack Days 2016, Moscow 8
  9. 9. 1. Разные проблемы – по разным тикетам 2. Работа по исправлению – в отдельных, специальным образом подготовленных бранчах 31.05.2016 Positive Hack Days 2016, Moscow 9 2. Тушим пожары в шлемах. Совместно! 1 2
  10. 10. 31.05.2016 Positive Hack Days 2016, Moscow 10 3. Роли и RBAC Administrator – настроить и назначить на роли Developer – для разработчиков и QA Manager – для руководителей / старших ...дальше – больше :-)
  11. 11. 31.05.2016 Positive Hack Days 2016, Moscow 11 4. Помним, куда стремимся!
  12. 12. Результаты доставляются ASAP до всех участников процесса их любимым образом, в привычной им форме и даже на их языке Уведомления отчеты в письмах, точнее, UA- уведомлениях • FYA – For Your Action • FYI – кому поспать спокойно 31.05.2016 Positive Hack Days 2016, Moscow 12 5. Любимый инструмент удобно сидит в руке
  13. 13. 31.05.2016 Positive Hack Days 2016, Moscow 13 6. Мин. задержки + контроль на линии Непрерывная event-driven защита Установите и контролируйте свои правилаполитику Присмотр за процессом / Подтверждения фиксов
  14. 14. AF 31.05.2016 Positive Hack Days 2016, Moscow 14 7. Как это работает – компоненты решения UX- & UA-aware Extensible Secure • RBAC (UI + данные) • Segregation of duty • Least privileges
  15. 15. ptsecurity.com Valery Boronin Схема вживую
  16. 16. ptsecurity.com Valery Boronin Что имеем по итогу
  17. 17. Общаемся через исходный код Группировка и прогресс - привычный трекер Автоматический анализ с эксплоитами и подтверждениями исправлений – облечит отладку и убережет от греха! 31.05.2016 Positive Hack Days 2016, Moscow 18 Выгоды для разработчика
  18. 18. Все было понятно? Все было, что Вам нужно? Что-то пропустили? Вопросы и уточнения Идеи Рацпредложения Хочу работать с вами! Пожалуйста, пишите стучите звоните – как Вам удобнее. Если мысль придет позже – тоже ОК! Спасибо за внимание! 31.05.2016 Positive Hack Days 2016, Moscow 19
  19. 19. ptsecurity.com Valery Boronin Спасибо! Вопросы?

×