Vlad Styran, profile picture
Uploaded byVlad Styran
PDF, PPTX739 views

Построение Secure Development Lifecycle

Документ обсуждает важность построения безопасного цикла разработки (secure development lifecycle, SDL) в контексте современных угроз и уязвимостей программного обеспечения. Он описывает этапы SDL, включая обучение, требования, дизайн, реализацию, проверку и релиз, акцентируя внимание на предотвращении уязвимостей и интеграции безопасности в процесс разработки. Документ также подчеркивает необходимость адаптации SDL к методологиям Agile и применения автоматизированных инструментов тестирования для обеспечения безопасности приложений.

Embed presentation

Download as PDF, PPTX
Построение Secure Development Lifecycle ! Владимир Стыран, БМС Консалтинг
Кто эти люди?.. • БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
Что у нас позади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
Наши впечатления • Типы граблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
Угрозы и стек технологий
Какие варианты? • Борьба за безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
Secure Development Lifecycle • “Изобретен” Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
Плоды SDL
Плоды SDL
Этапы SDL • Обучение • Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
Обучение • Разработка программы обучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
Требования • Утверждение требований безопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
Дизайн • Определение и документирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
Реализация • Использование техник безопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
Проверка • Переоценка модели угроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
Релиз • Создание плана реагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
Реагирование • Выполнение плана реагирования на инциденты, составленного на стадии релиза
SDL для Agile • Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
One-time • Из требований • Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
Every-sprint • Из дизайна • Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
Bucket • Из требований • Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
Ключевые концепции • Производство защищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
Gartner AST MQ Сегмент продуктов автоматизированного тестирования защищенности приложений в 2013 г.
Подведем итог • Угрозы двигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг
Спасибо за внимание! ! vladimir_styran@bms-consulting.com +380(67) 659 1342

More Related Content

PDF
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
PPTX
2015 02 пм качалин sdl
byAlexey Kachalin
 
PPTX
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
PPTX
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
PDF
#root это только начало
byVlad Styran
 
PPTX
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
PDF
Безопасность и сертификация банковского ПО
byAlex Babenko
 
PPTX
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
byVlad Styran
 
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
2015 02 пм качалин sdl
byAlexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
#root это только начало
byVlad Styran
 
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
Безопасность и сертификация банковского ПО
byAlex Babenko
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
byVlad Styran
 

What's hot

PPTX
Безопасная разработка приложений на практике
byPointlane
 
PPTX
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
PDF
Практический опыт реализации собственной антифрод системы
bySelectedPresentations
 
PPTX
Кот в мешке: вопросы безопасности при M&A
byPositive Hack Days
 
PPT
Цикл безопасной разработки SDL
byAlex Babenko
 
PPTX
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
PDF
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
byRISSPA_SPb
 
PDF
Практические особенности внедрения систем класса DLP
byDialogueScience
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
PPTX
дмитрий кузнецов (2)
byPositive Hack Days
 
PPTX
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
PDF
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
byExpolink
 
PPTX
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
byDLP-Эксперт
 
PDF
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
bySelectedPresentations
 
PPTX
Социальная инженерия
byAlex Babenko
 
PPTX
О PCI P2PE в общих чертах
byAlex Babenko
 
PDF
Целевое управление доступом в сети. Техническое решение для финансовых органи...
bySelectedPresentations
 
PDF
Семь лет поиска. Что, как и зачем мы проверяем
bySelectedPresentations
 
PDF
Про аудиты ИБ для студентов фин.академии
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка приложений на практике
byPointlane
 
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
Практический опыт реализации собственной антифрод системы
bySelectedPresentations
 
Кот в мешке: вопросы безопасности при M&A
byPositive Hack Days
 
Цикл безопасной разработки SDL
byAlex Babenko
 
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
byRISSPA_SPb
 
Практические особенности внедрения систем класса DLP
byDialogueScience
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
дмитрий кузнецов (2)
byPositive Hack Days
 
Требования по безопасности в архитектуре ПО
byPositive Hack Days
 
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
byExpolink
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
byDLP-Эксперт
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
bySelectedPresentations
 
Социальная инженерия
byAlex Babenko
 
О PCI P2PE в общих чертах
byAlex Babenko
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
bySelectedPresentations
 
Семь лет поиска. Что, как и зачем мы проверяем
bySelectedPresentations
 
Про аудиты ИБ для студентов фин.академии
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked

PDF
Secure Code Review 101
byNarudom Roongsiriwong, CISSP
 
PDF
Simplified Security Code Review Process
bySherif Koussa
 
PDF
Secure Code Reviews
byMarco Morana
 
PDF
Прелюдия к атаке: практика и автоматизация OSINT
byVlad Styran
 
PDF
Dynamic PHP web-application analysis
byax330d
 
PPTX
Этичный хакинг или пентестинг в действии
bySQALab
 
PPTX
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
byVlad Styran
 
PPTX
Социальная инженерия для инженеров
byVlad Styran
 
PDF
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
PDF
Recon-Fu @BsidesKyiv 2016
byVlad Styran
 
PDF
Подходы к сигнатурному статическому анализу
byPositive Development User Group
 
PPTX
Berezha Security
byVlad Styran
 
PDF
правда про ложь
byVlad Styran
 
PDF
Secure code
byddeogun
 
PDF
Социальные аспекты ИБ
byVlad Styran
 
PPTX
Code review psyhology
byOleksiy Rezchykov
 
PDF
Next generation pentest your company cannot buy
byVlad Styran
 
PPTX
Путевые заметки социального инженера
byVlad Styran
 
PPTX
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
byKonstantin Zavarov, ICP
 
PDF
SECON'2016. Бушмелев Юрий, Два титановых шарика
bySECON
 
Secure Code Review 101
byNarudom Roongsiriwong, CISSP
 
Simplified Security Code Review Process
bySherif Koussa
 
Secure Code Reviews
byMarco Morana
 
Прелюдия к атаке: практика и автоматизация OSINT
byVlad Styran
 
Dynamic PHP web-application analysis
byax330d
 
Этичный хакинг или пентестинг в действии
bySQALab
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
byVlad Styran
 
Социальная инженерия для инженеров
byVlad Styran
 
Построение процесса безопасной разработки - Стачка 2016
byValery Boronin
 
Recon-Fu @BsidesKyiv 2016
byVlad Styran
 
Подходы к сигнатурному статическому анализу
byPositive Development User Group
 
Berezha Security
byVlad Styran
 
правда про ложь
byVlad Styran
 
Secure code
byddeogun
 
Социальные аспекты ИБ
byVlad Styran
 
Code review psyhology
byOleksiy Rezchykov
 
Next generation pentest your company cannot buy
byVlad Styran
 
Путевые заметки социального инженера
byVlad Styran
 
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
byKonstantin Zavarov, ICP
 
SECON'2016. Бушмелев Юрий, Два титановых шарика
bySECON
 

Similar to Построение Secure Development Lifecycle

PDF
AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)
byOntico
 
PDF
Защита информации. Вводная лекция.
byIvan Ignatyev
 
PPTX
Sdlc by Anatoliy Anthony Cox
byAlex Tumanoff
 
PPTX
Внедрение систем мониторинга и защиты информации
byMNUCIB
 
PDF
Цикл безопасной разработки
byRISClubSPb
 
PDF
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
PPTX
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
PDF
Построение процесса безопасной разработки
byPositive Development User Group
 
PPTX
Enterprise Developers Conference 2010
bySergey Orlik
 
PPTX
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
PPTX
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
PPTX
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
PPTX
разработка безопасного кода
byAndrey Somsikov
 
PPTX
Анализ угроз ИБ компаниям-разработчикам СЗИ
byAlexey Kachalin
 
PPTX
Secure development
byIhor Uzhvenko
 
PPT
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
byKirill Rubinshteyn
 
PDF
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
PPTX
Msf Dz
byDigital Zone
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
PDF
Подходы к безопасности программного обеспечения.
bySelectedPresentations
 
AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)
byOntico
 
Защита информации. Вводная лекция.
byIvan Ignatyev
 
Sdlc by Anatoliy Anthony Cox
byAlex Tumanoff
 
Внедрение систем мониторинга и защиты информации
byMNUCIB
 
Цикл безопасной разработки
byRISClubSPb
 
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
Безопасная разработка (СТАЧКА 2015)
byAlexey Kachalin
 
Построение процесса безопасной разработки
byPositive Development User Group
 
Enterprise Developers Conference 2010
bySergey Orlik
 
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
разработка безопасного кода
byAndrey Somsikov
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
byAlexey Kachalin
 
Secure development
byIhor Uzhvenko
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
byKirill Rubinshteyn
 
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
Msf Dz
byDigital Zone
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
Подходы к безопасности программного обеспечения.
bySelectedPresentations
 

More from Vlad Styran

PDF
Cybersecurity Framework 021214 Final UA
byVlad Styran
 
PDF
Центр оперативного управления информационной безопасностью
byVlad Styran
 
PPTX
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
byVlad Styran
 
PPTX
Threat Modeling 101
byVlad Styran
 
PDF
Sigma Open Tech Week: Bitter Truth About Software Security
byVlad Styran
 
PPTX
Application Security Webcast
byVlad Styran
 
PPTX
Организация, культура, и управление кибер-безопасностью
byVlad Styran
 
PPTX
Использование приватных, публичных и гибридных облаков для обеспечения информ...
byVlad Styran
 
PPTX
Кібер-Шмібер
byVlad Styran
 
PDF
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
byVlad Styran
 
PPTX
The sooner the better but never too late
byVlad Styran
 
PDF
Fantastic Beasts and where to hide from them
byVlad Styran
 
PPTX
BruCON 0x09 Building Security Awareness Programs That Don't Suck
byVlad Styran
 
PDF
NoNameCon partnership opportunities
byVlad Styran
 
PPTX
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
byVlad Styran
 
Cybersecurity Framework 021214 Final UA
byVlad Styran
 
Центр оперативного управления информационной безопасностью
byVlad Styran
 
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
byVlad Styran
 
Threat Modeling 101
byVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
byVlad Styran
 
Application Security Webcast
byVlad Styran
 
Организация, культура, и управление кибер-безопасностью
byVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
byVlad Styran
 
Кібер-Шмібер
byVlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
byVlad Styran
 
The sooner the better but never too late
byVlad Styran
 
Fantastic Beasts and where to hide from them
byVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
byVlad Styran
 
NoNameCon partnership opportunities
byVlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
byVlad Styran
 

Построение Secure Development Lifecycle

  • 1.
  • 2.
    Кто эти люди?.. •БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
  • 3.
    Что у наспозади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
  • 4.
    Наши впечатления • Типыграблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
  • 5.
    Угрозы и стектехнологий
  • 6.
    Какие варианты? • Борьбаза безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
  • 7.
    Secure Development Lifecycle • “Изобретен”Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
  • 8.
  • 9.
  • 10.
    Этапы SDL • Обучение •Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
  • 11.
    Обучение • Разработка программыобучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
  • 12.
    Требования • Утверждение требованийбезопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
  • 13.
    Дизайн • Определение идокументирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
  • 14.
    Реализация • Использование техникбезопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
  • 15.
    Проверка • Переоценка моделиугроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
  • 16.
    Релиз • Создание планареагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
  • 17.
    Реагирование • Выполнение планареагирования на инциденты, составленного на стадии релиза
  • 18.
    SDL для Agile •Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
  • 19.
    One-time • Из требований •Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
  • 20.
    Every-sprint • Из дизайна •Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
  • 21.
    Bucket • Из требований •Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
  • 22.
    Ключевые концепции • Производствозащищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
  • 23.
  • 24.
    Подведем итог • Угрозыдвигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг
  • 25.