Artwork

Контент предоставлен Konstantin Burkalev. Весь контент подкастов, включая выпуски, графику и описания подкастов, загружается и предоставляется непосредственно Konstantin Burkalev или его партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Player FM - приложение для подкастов
Работайте офлайн с приложением Player FM !

SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect

2:01:50
 
Поделиться
 

Архивные серии ("Канал не активен" status)

When? This feed was archived on January 04, 2024 03:21 (3M ago). Last successful fetch was on January 23, 2023 08:45 (1y ago)

Why? Канал не активен status. Нашим серверам не удалось получить доступ к каналу подкаста в течении длительного периода времени.

What now? You might be able to find a more up-to-date version using the search function. This series will no longer be checked for updates. If you believe this to be in error, please check if the publisher's feed link below is valid and contact support to request the feed be restored or if you have any other concerns about this.

Manage episode 319741810 series 124898
Контент предоставлен Konstantin Burkalev. Весь контент подкастов, включая выпуски, графику и описания подкастов, загружается и предоставляется непосредственно Konstantin Burkalev или его партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect. В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров. Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять. Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности. В заключении выпуска немного подискутировали о будущем сферы информационной безопасности. Ссылки на ресурсы по темам выпуска: * Just Security (https://t.me/justsecurity). Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности. * ISO/IEC 27034-6 Information technology, Security techniques, Application security (https://www.iso.org/standard/60804.html) * CIS Benchmarks (https://www.cisecurity.org/cis-benchmarks/) * CodeQL (https://codeql.github.com/) - code analysis engine developed by GitHub to automate security checks * Заметка «Hunting for XSS with CodeQL» (https://medium.com/codex/hunting-for-xss-with-codeql-57f70763b938) * SonarQube (https://www.sonarqube.org/). Если кто-то его ещё не знает :) * “Software Bill of Materials” (SBOM) (https://www.ntia.gov/SBOM) * Yandex talk from ZeroNights "Company wide SAST" (https://www.youtube.com/watch?v=JK8uUKjo_ag) * Bandit (https://github.com/PyCQA/bandit). Helps to find common security issues in Python code * Owasp ZAP (https://medium.com/cloudadventure/security-in-a-ci-cd-pipeline-876ed8541fa4). Dynamic Application Security Testing tool (DAST) * IAST Seeker (https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html) * The Docker Bench for Security (https://github.com/docker/docker-bench-security) is a script that checks for dozens of common best-practices around deploying Docker * Kube-bench (https://github.com/aquasecurity/kube-bench) - Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark * Книга «Kubernetes Security» (https://kubernetes-security.info/) * RESTler for RESP API fuzzing (https://github.com/microsoft/restler-fuzzer) * libFuzzer (https://llvm.org/docs/LibFuzzer.html) a library for coverage-guided fuzz testing * ClusterFuzz (https://google.github.io/clusterfuzz/) is a scalable fuzzing infrastructure that finds security and stability issues in software * OSS-Fuzz (https://github.com/google/oss-fuzz) - continuous fuzzing for open source softwar * Microsoft Sentinel (https://azure.microsoft.com/en-us/services/microsoft-sentinel/). Next-generation security operations with cloud and AI * Книга «Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats» (https://www.amazon.es/Rootkits-Bootkits-Reversing-Malware-Generation/dp/1593277164) Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!
  continue reading

144 эпизодов

Artwork
iconПоделиться
 

Архивные серии ("Канал не активен" status)

When? This feed was archived on January 04, 2024 03:21 (3M ago). Last successful fetch was on January 23, 2023 08:45 (1y ago)

Why? Канал не активен status. Нашим серверам не удалось получить доступ к каналу подкаста в течении длительного периода времени.

What now? You might be able to find a more up-to-date version using the search function. This series will no longer be checked for updates. If you believe this to be in error, please check if the publisher's feed link below is valid and contact support to request the feed be restored or if you have any other concerns about this.

Manage episode 319741810 series 124898
Контент предоставлен Konstantin Burkalev. Весь контент подкастов, включая выпуски, графику и описания подкастов, загружается и предоставляется непосредственно Konstantin Burkalev или его партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect. В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров. Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять. Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности. В заключении выпуска немного подискутировали о будущем сферы информационной безопасности. Ссылки на ресурсы по темам выпуска: * Just Security (https://t.me/justsecurity). Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности. * ISO/IEC 27034-6 Information technology, Security techniques, Application security (https://www.iso.org/standard/60804.html) * CIS Benchmarks (https://www.cisecurity.org/cis-benchmarks/) * CodeQL (https://codeql.github.com/) - code analysis engine developed by GitHub to automate security checks * Заметка «Hunting for XSS with CodeQL» (https://medium.com/codex/hunting-for-xss-with-codeql-57f70763b938) * SonarQube (https://www.sonarqube.org/). Если кто-то его ещё не знает :) * “Software Bill of Materials” (SBOM) (https://www.ntia.gov/SBOM) * Yandex talk from ZeroNights "Company wide SAST" (https://www.youtube.com/watch?v=JK8uUKjo_ag) * Bandit (https://github.com/PyCQA/bandit). Helps to find common security issues in Python code * Owasp ZAP (https://medium.com/cloudadventure/security-in-a-ci-cd-pipeline-876ed8541fa4). Dynamic Application Security Testing tool (DAST) * IAST Seeker (https://www.synopsys.com/software-integrity/security-testing/interactive-application-security-testing.html) * The Docker Bench for Security (https://github.com/docker/docker-bench-security) is a script that checks for dozens of common best-practices around deploying Docker * Kube-bench (https://github.com/aquasecurity/kube-bench) - Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark * Книга «Kubernetes Security» (https://kubernetes-security.info/) * RESTler for RESP API fuzzing (https://github.com/microsoft/restler-fuzzer) * libFuzzer (https://llvm.org/docs/LibFuzzer.html) a library for coverage-guided fuzz testing * ClusterFuzz (https://google.github.io/clusterfuzz/) is a scalable fuzzing infrastructure that finds security and stability issues in software * OSS-Fuzz (https://github.com/google/oss-fuzz) - continuous fuzzing for open source softwar * Microsoft Sentinel (https://azure.microsoft.com/en-us/services/microsoft-sentinel/). Next-generation security operations with cloud and AI * Книга «Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats» (https://www.amazon.es/Rootkits-Bootkits-Reversing-Malware-Generation/dp/1593277164) Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon (https://www.patreon.com/KSDaemon), звёздочками в iTunes (https://podcasts.apple.com/ru/podcast/software-development-podcast/id890468606?l=en) или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast (https://t.me/SDCast), где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!
  continue reading

144 эпизодов

All episodes

×
 
Loading …

Добро пожаловать в Player FM!

Player FM сканирует Интернет в поисках высококачественных подкастов, чтобы вы могли наслаждаться ими прямо сейчас. Это лучшее приложение для подкастов, которое работает на Android, iPhone и веб-странице. Зарегистрируйтесь, чтобы синхронизировать подписки на разных устройствах.

 

Краткое руководство