QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування

Sigma Open Tech Week: Bitter Truth About Software Security

Securing 100 products - How hard can it be?

Many companies establish their Secure Development Lifecycle. The adoption of it crucial especially for corporations with dozens of applications. The main challenges they face are the diversity of architecture, dev languages, methodologies, compliance, regulations, etc. This talk will shed light on scaling up and out the application security capabilities and maximizing the software security maturity. (Source : RSA Conference USA 2017)

How to transform developers into security people

Developers should be the first line of security defense. Security teams purchase secure coding classes and claim success. Hours of training does not change the developer mindset. When developers hear security, they respond as either unlearned, overworked, apathetic or gung ho. This session will explore why developers reject security and will provide a programmatic approach to answer the challenges. (Source : RSA Conference USA 2017)

Ops Happen: Improve Security Without Getting in the Way

CSA Raleigh application security and deception in the cloud

Presented on January 17, 2019 at Raleigh/Durham/RTP - Cloud Security Alliance Chapter (https://www.meetup.com/Raleigh-Durham-RTP-Cloud-Security-Alliance-Chapter/). Over the last several years there has been a steady and increasing march towards shifting applications to the cloud. To keep pace with this cloud adoption, in some cases multi-cloud adoption, security teams need consistent real-time threat visibility over their web applications production. In this talk, we'll discuss some of the foundational concepts that comprise a practical approach to threat visibility and securing applications in the cloud. In addition, extending visibility to breaches in progress, deception can be a valuable layer in your defense in depth strategy. We'll discuss the concept of deception and how it can be deployed in the cloud. Overall, the audience will gain a greater insight into application security and deception for the cloud. As we head into 2019, we need to prepare for a year that will prove these concepts are critical for defending deployments in the cloud.

There’s no guarantee that software will ever be free from vulnerabilities, whether it is open source or proprietary, but there is still plenty we can do. The Linux Foundation CTO Nicko van Someren will discuss new tools and techniques that help improve the security and quality of open source projects, presenting data from various open source projects including pre- and post-Heartbleed OpenSSL. (Source : RSA Conference USA 2017)

The left is not wrong, just not right; It's time to shift right!

In the last few years of AppSec and DevOps, we've heard the calls to shift left. But how far left can we go, and is it really going to help eliminate exploitable bugs or scale your AppSec program? What if we consider a different direction, shifting right! Can a focus on shifting to the right be more effective in mitigating real-world threats and prioritization? In this presentation, I'll explore these questions and propose concepts that show why shifting right is right! 

Shift Left. Wait, what? No, Shift Right!!!

A worldwide journey to build a secure development environment

We know we need to identify and protect critical assets. But how? If your company develops a multitude of hardware and software products in a global environment it is very challenging. This session will describe how we approached the design and building of a Secure Development Environment (SDE), giving you a jump start your own SDE using our lessons learned to help balance security and productivity. (Source : RSA Conference USA 2017)

[Webinar] Building a Product Security Incident Response Team: Learnings from ...

Vulnerability management and threat detection by the numbers

Eoin Keary

The R.O.A.D to DevOps

SecOps Armageddon: A look into the future of security & operations

Silver Lining for Miles: DevOps for Building Security Solutions

Amy DeMartine - 7 Habits of Rugged DevOps

Security at Scale - Lessons from Six Months at Yahoo

Alex Stamos

DEVSECOPS: Coding DevSecOps journey

Jason Suttie

Pivotal APJ Security Chaos Engineering

Modern systems pose a number of thorny challenges and securing the transformation from legacy monolithic systems to distributed systems demands a change in mindset and engineering toolkit. The security engineering toolkit is unfortunately out-of-style and outdated with today's approach to building, security and operating distributed systems. Distributed systems at scale have unpredictable and complex outcomes that are costly when security incidents occur. The speed, scale, and complex operations within microservice architectures make them tremendously difficult for humans to mentally model their behavior. If the latter is even remotely true how is it possible to adequately secure services that are not even fully comprehended by the engineering teams that built them. How do we realign the actual state of operational security measures to maintain an acceptable level of confidence that our security actually works.

Deception in Cyber Security (League of Women in Cyber Security)

Secure Software Development Lifecycle - Devoxx MA 2018

Imola Informatica

DevSecOps Days Istanbul 2020 Security Chaos Engineering

[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух

OWASP Russia

5 Tips to Successfully Running a Bug Bounty Program

How to Secure America

Human is an amateur; the monkey is an expert. How to stop trying to secure yo...

Charting a Career in Information Security - August 2020

JayTymchuk

WANTED – People Committed to Solving our Information Security Language Problem

What's hot

Collaborative security : Securing open source software

The left is not wrong, just not right; It's time to shift right!

Shift Left. Wait, what? No, Shift Right!!!

A worldwide journey to build a secure development environment

[Webinar] Building a Product Security Incident Response Team: Learnings from ...

Vulnerability management and threat detection by the numbers

Eoin Keary

The R.O.A.D to DevOps

SecOps Armageddon: A look into the future of security & operations

Silver Lining for Miles: DevOps for Building Security Solutions

Amy DeMartine - 7 Habits of Rugged DevOps

Security at Scale - Lessons from Six Months at Yahoo

Alex Stamos

DEVSECOPS: Coding DevSecOps journey

Jason Suttie

Pivotal APJ Security Chaos Engineering

Deception in Cyber Security (League of Women in Cyber Security)

Secure Software Development Lifecycle - Devoxx MA 2018

Imola Informatica

DevSecOps Days Istanbul 2020 Security Chaos Engineering

[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух

OWASP Russia

5 Tips to Successfully Running a Bug Bounty Program

What's hot (18)

Collaborative security : Securing open source software

The left is not wrong, just not right; It's time to shift right!

Shift Left. Wait, what? No, Shift Right!!!

A worldwide journey to build a secure development environment

[Webinar] Building a Product Security Incident Response Team: Learnings from ...

Vulnerability management and threat detection by the numbers

The R.O.A.D to DevOps

SecOps Armageddon: A look into the future of security & operations

Silver Lining for Miles: DevOps for Building Security Solutions

Amy DeMartine - 7 Habits of Rugged DevOps

Security at Scale - Lessons from Six Months at Yahoo

DEVSECOPS: Coding DevSecOps journey

Pivotal APJ Security Chaos Engineering

Deception in Cyber Security (League of Women in Cyber Security)

Secure Software Development Lifecycle - Devoxx MA 2018

DevSecOps Days Istanbul 2020 Security Chaos Engineering

[1.1] Почему вам стоит поучаствовать в жизни OWASP Russia - Александр Антух

5 Tips to Successfully Running a Bug Bounty Program

Similar to QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування

How to Secure America

Human is an amateur; the monkey is an expert. How to stop trying to secure yo...

Charting a Career in Information Security - August 2020

JayTymchuk

WANTED – People Committed to Solving our Information Security Language Problem

Moshiul Islam, CISSP, CISA, CFE

Basic of SSDLC

Chitpong Wuttanan

Secure Application Development Trainingpivotalsecurity

wannabe Cyberpunk; “I don’t know what I’m supposed to do.”

Cloud, DevOps and the New Security Practitioner

Adrian Sanabria

First presented at Cloud Security World in Boston on June 15th, 2016. Once upon a time, walls were erected between the Linux/UNIX crowd, Windows admins and the mainframers. Each architecture had its place and its experts, and they rarely mixed. This time around, we didn’t just get a new domain, we got a new way of doing IT and running businesses. Cloud has created new opportunities and DevOps has capitalized on them. The result of this combination is so unrecognizable that it isn’t uncommon to see IT organizations split down the middle by the new and old approaches. As DevOps continues to gain in popularity, the same split is occurring in the security workforce. Will the traditional security practitioner be in danger of becoming obsolete?

Cybersecurity career options & Getting started

Balaji Rajasekaran

Moti Sagey CPX keynote _Are All security products created equal

Moti Sagey מוטי שגיא

Гірка правда про безпеку програмного забезпечення, Володимир Стиран

Sigma Software

SAMBA - Luka Pavol - 12.3.2014Anton Bittner

So... you want to be a security consultant abnmi

Sect f41SelectedPresentations

When your CEO asks, "Are we secure?" what do you say?

Tenable Network Security

What would you say if your boss came up to you and asked, "How secure are we?" It’s an apparently simple question, yet extremely difficult to answer. We posed this question to attendees of the Tenable ISE VIP Welcome Reception with T.E.N. the night before the launch of the RSA Conference 2015. Check out their answers here, or in video format at: http://bit.ly/how-secure --- Security professionals featured in this slideshare: Chris Egaaen Jennifer Graham Jay Schwitzgebel Steven Lodin Rhonda Simmon Tony Zirnoon Christina Critzer David Rooker John Graham Bill Olson Alex Hutton Kenneth Haertling David Mortman Greg Press Ron Gula

Security as a new metric for Business, Product and Development Lifecycle

Nazar Tymoshyk, CEH, Ph.D.

Security as a New Metric for Your Business, Product and Development Lifecycle...

IT Arena

Lviv IT Arena is a conference specially designed for programmers, designers, developers, top managers, inverstors, entrepreneur and startuppers. Annually it takes place on 2-4 of October in Lviv at the Arena Lviv stadium. In 2015 conference gathered more than 1400 participants and over 100 speakers from companies like Facebook. FitBit, Mail.ru, HP, Epson and IBM. More details about conference at itarene.lviv.ua.

Why 'positive security' is a software security game changer

Jaap Karan Singh

Slide Deck - CISSP Mentor Program Class Session 1

FRSecure

FRSecure has a goal of changing a broken industry. There are many ways to accomplish this endeavor such as setting high assessment standards, using proprietary reporting methods that are easy to understand to hiring expert talent just to name a few. However, one unique approach FRSecure uses to bring about change is our CISSP Mentor Program. By design the program is provided at no cost to anyone with an interest in the information security industry.

Navigating Cybersecurity

Segun Ebenezer Olaniyan

Similar to QA Fest 2019. Володимир Стиран. Чим раніше – тим вигідніше, але ніколи не пізно. Чому безпека програмного забезпечення починається з тестування (20)

How to Secure America

Human is an amateur; the monkey is an expert. How to stop trying to secure yo...

Charting a Career in Information Security - August 2020

WANTED – People Committed to Solving our Information Security Language Problem

Basic of SSDLC

Secure Application Development Training

wannabe Cyberpunk; “I don’t know what I’m supposed to do.”

Cloud, DevOps and the New Security Practitioner

Cybersecurity career options & Getting started

Moti Sagey CPX keynote _Are All security products created equal

Гірка правда про безпеку програмного забезпечення, Володимир Стиран

SAMBA - Luka Pavol - 12.3.2014

So... you want to be a security consultant

Sect f41

When your CEO asks, "Are we secure?" what do you say?

Security as a new metric for Business, Product and Development Lifecycle

Security as a New Metric for Your Business, Product and Development Lifecycle...

Why 'positive security' is a software security game changer

Slide Deck - CISSP Mentor Program Class Session 1

Navigating Cybersecurity

More from QAFest

QA Fest 2019. Сергій Короленко. Топ веб вразливостей за 40 хвилин

QA Fest 2019. Анна Чернышова. Self-healing test automation 2.0. The Future

Мы уже разговаривали о self-healing автоматизации, как она работает, какие есть подходы, чем они хороши, плохи и о новом инструменте, который мы разрабатываем в EPAM. Наш продукт завершает стадию POC и настало время поделиться результатами и понять, насколько self-healing автоматизация поможет вашим тестам стать стабильнее? Или наоборот, навредит?... Приходи и узнаешь!

QA Fest 2019. Doug Sillars. It's just too Slow: Testing Mobile application pe...

Mobile apps and websites are now the predominant ways that users interact with brands. Research has shown that slow sites and apps lose customer engagement. Despite this, most mobile sites and apps have performance issues that can be easily resolved once diagnosed. In this talk, we will walk through steps to diagnose network performance bottlenecks in mobile services. We'll discuss real-world examples and how they were resolved. Attendees will leave this talk armed with the tools to test, diagnose and resolve the top network performance issues that affect mobile today.

QA Fest 2019. Катерина Спринсян. Параллельное покрытие автотестами и другие и...

Раньше мы в Badoo фокусировались в основным на ручном тестировании. Получался этакий дедлок мануальной регрессии: не было времени, чтоб писать тесты, потому что много тестировали руками, а много тестировали руками, потому что не было автотестов. Но мы смогли наладить свою систему автоматизации и процессы, разорвали этот порочный круг и начали писать годные тесты. В своем докладе я расскажу, как нам удалось сократить ручную регрессию с 90% до 30% рабочего времени, при этом сохранить достойный уровень качества и профессионально вырасти!

QA Fest 2019. Никита Галкин. Как зарабатывать больше

Вам знаком термин mindshift? Именно его вы испытаете от этого доклада. Он будет не о QA процессах или инструментах, он будет о деньгах и бизнесе, о рисках и коммуникациях. Все это с примерами из Украинского и мировом IT в формате живого общения с аудиторией.

QA Fest 2019. Сергей Пирогов. Why everything is spoiled

QA Fest 2019. Сергей Новик. Между мотивацией и выгоранием

QA Fest 2019. Владимир Никонов. Код Шредингера или зачем и как мы тестируем н...

Для разработки современных программных решений необходимо обеспечить эффективную систему тестирования, которая состоит из большого количества компонентов и задает требования ко всем этапам разработки. Владимир Никонов, руководитель департамента разработки платформы в Terrasoft, эксперт в области проектирования приложений с опытом работы более 10 лет, поделится экспертным мнением с участниками QA Fest и расскажет: - об инструментах и процессах на каждом этапе создания и поставки функциональности: от unit-тестов до нефункционального тестирования; - о требования к инструментам тестирования и компетенциям команды QA-инженеров, которые необходимо выдвигать на каждом этапе тестирования; - как внедрять современные подходы в существующий проект с минимальными затратами; - как развивать команду и процессы тестирования в целом.

QA Fest 2019. Владимир Трандафилов. GUI automation of WEB application with SV...

Доклад посвящен автоматизации тестирования WEB-приложений с SVG-графикой. В 1-ой части доклада даны короткое описание процессов разрабатываемого приложения и обоснование необходимости применения SVG-графики. Во 2-ой части сделан короткий обзор SVG-графики, показаны основные преимущества/недостатки такого типа графики, сделан обзор основных SVG-поверхностей и рассмотрен процесс их трансформации с помощью матрицы преобразования с разбором ее основных типов. В 3-ей части обозначены основные проблемы автоматизации действий с SVG-графикой, такие как drag’n’drop графических объектов (SVG на SVG), их масштабирование при помощи колесика мышки и выделение ломаный линий. В 4-ой части показаны решения обозначенных проблем с использованием JavaScript.

QA Fest 2019. Иван Крутов. Bulletproof Selenium Cluster

Browser tests are known to be the flakiest ones. This is partly because browser infrastructure is complicated to maintain. But the second reason is – mainstream browser automation tools such as Selenium server are far from being efficient. A year ago I have shown Selenoid - a truly efficient replacement of the standard Selenium server. This year I would like to demonstrate how to organize a fault-tolerant and easily scalable Selenium cluster using virtual machines in the cloud. I will start by setting up several Selenoid nodes and configure them to send logs and recorded videos to S3-compatible storage. Then I will run multiple Ggr load balancer instances allowing to use all running Selenoid nodes and organize a single entry point to the cluster. Finally, we'll discuss how to work with VNC and video recording in such a cluster.

QA Fest 2019. Николай Мижигурский. Миссия /*не*/выполнима: гуманитарий собесе...

Случалось ли вам запускать автоматизацию на проекте? Испытывать непревзойденное удовольствие от необходимости собеседовать технического специалиста, когда сам не имеешь технического опыта? Если да, то этот доклад для вас. Мы научимся анализировать сеньорность кандитата, его технический уровень и способность к организации команд. Но самое главное - все это мы сможем достичь без серьезного технического опыта. Будет интересно, заходи на огонек!

QA Fest 2019. Дмитрий Прокопук. Mocks and network tricks in UI automation

Веб-приложения и технологии стремительно развиваются. Мы уже вступили в эру Single Page Application и идем к Progressive Web Application. В большинстве современных проектов идет разделение команд на front-end и back-end, и не только команд, но идет раздельная релизная политика. Это требует более детальных подходов к тестированию front-end. В этом докладе мы рассмотрим кейсы, который есть на практике при тестировании задач front-end и инструменты автоматизации, которые могут решать задачи описанные в этих кейсах: чтение request/response browser network и соответственно мокирование response.

QA Fest 2019. Екатерина Дядечко. Тестирование медицинского софта — вызовы и в...

Проектирование и производство медицинских устройств — это регулируемый бизнес. Государственные органы во всем мире призваны гарантировать безопасность и эффективность медицинских устройств. Несоответствие нормативным требованиям ставит под угрозу жизнь и здоровье человека. Как медицинское регулирование влияет на рабочий процесс компании производителя? Мы поговорим о том, какие вызовы стоят перед тестировщиком медицинского софта, а также какие возможности при этом открываются.

QA Fest 2019. Катерина Черникова. Tune your P’s: the pop-art of keeping testa...

Про «тестабилити» в последнее время говорят часто, зачастую говорят в рамках способности тестировать тот или иной функционал. А иногда и ограничиваются только возможностью автоматизировать. Существует техника “10P тестируемости”, которая используется для оптимизации процесса разработки, как инструмент анализа и настройки процессов для достижения успеха на проекте в целом. Вот об этом и поговорим.

QA Fest 2019. Алиса Бойко. Какнезапутаться в коммуникативных сетях IT

Твою гениальность не замечает никто кроме мамы? Идеи и проекты нравятся только твоему коту? Одногруппники уже руководители подразделений, а ты завис между middle и senior? Пришло время найти баги не только на проекте, но и в своей голове! Прокачаем коммуникативные навыки:)

QA Fest 2019. Святослав Логин. Как найти уязвимости в мобильном приложении

С каждым годом мобильных приложений становится все больше, но мало кто обращает внимание на безопасность этого приложения, когда оно находится в процессе разработки. Так как бизнес нацелен только на то, чтобы оторвать большую часть пользователей, которые будут использовать это приложение, они обращают внимание на конфиденциальность своих клиентов в последнюю очередь. В своем докладе я расскажу как мануал QA может проверить мобильное приложение на уязвимости и найти топовые дыры по рейтингу OWASP. В презентации будут использованы такие тулзы Santoku Linux + Genymotion.

QA Fest 2019. Катерина Шепелєва та Інна Оснач. Що українцям потрібно знати пр...

Маючи досвід роботи з іноземними замовниками і колегами, а також вивчаючи культурні особливості жителів інших країн, ми якось поставили собі за мету з'ясувати, якими українців бачать іноземці, чи потрібно їм підлаштовуватись під нашу манеру спілкування, чи є щось, що вони зовсім не можуть прийняти. Поділимося з вами результатами цієї затії, а також поговоримо про: - те, що потрібно знати українцям про свої софт скіли, - то, як відрізняються софт скіли українців і жителів кількох інших країн, - важливість софт скілів для успішних комунікацій з іноземними колегами, - важливість софт скілів для просування по кар'єрі.

QA Fest 2019. Антон Серпутько. Нагрузочное тестирование распределенных асинхр...

Обычно в процессе нагрузочного тестирование необходимые app-side метрики(response time, throughput, ..) можно получить прямо в генераторе нагрузки. Мы шлем запрос, получаем респонс и зачастую время выполнения запроса это и есть то что нам нужно. Но что если после того как сервер отдал вам ответ происходит еще ряд асинхронных операций, время выполнения которых нам необходимо проверить? Как замерить время выполнения этих запросов? Какая часть системы является узким местом в производительности? В докладе рассмотрим какие челенжи появляются в такой ситуации и как их можно решить.

QA Fest 2019. Петр Тарасенко. QA Hackathon - The Cookbook 22

Хотели бы вы, чтобы в Украине происходило больше QA ивентов? Чувствуете, что их не хватает? Знаете, кто может это изменить? - Вы! Я поделюсь подходами, которые мы использовали при организации QA хакатонов в Wix, которыми завтра вы сможете воспользоваться для создания вашего крутого ивента!

QA Fest 2019. Евгений Рудев. QA 3.0. New generation