Guest
В этом эпизоде мы обсуждаем интересный whitepaper “Secure by Design at Google“ от Chirstoph Kern на тему security с человеческим лицом от Google, где рассказывалось о том, как создавать безопасный софт на большом масштабе. В разборе мне помогает крутой гость - Артем Мерец, мой коллега. Артем был разработчиком и 10 лет назад перешел в информационную безопасность. Он активно строил AppSec, когда он начал зарождаться в РФ как стрим, а затем увлекся атаками и несколько лет ломал инфраструктуру и приложения разных компаний в РФ и за пределами. И с 2021 помогаю выстраивать защиту Т-Банка в роли архитектора. Материалы для изучения - Сама научная статья доступна здесь - - Мой разбор - Timeline: 00:00 - Введение и представление гостя 02:23 - Общие впечатления от статьи 04:28 - Логические уязвимости и подходы Google 06:20 - Сложности безопасной разработки 10:29 - Концепция Security by Design 13:23 - Примеры безопасности из автомобильной индустрии 15:50 - Проблемы аудита кода 17:25 - Принципы безопасного дизайна 20:13 - Проблемы с инвариантами 25:19 - Автоматизация и категоризация инвариантов 29:00 - Применение инвариантов 32:23 - Проблемы безопасности в системах 34:05 - Примеры защиты от злонамеренных действий 35:27 - Дизайн для безопасности 37:56 - Shift left everything в разработке 40:26 - Проблемы и решения в безопасности 41:21 - Проект Yaga в Т-Банке 45:04 - Логические уязвимости 46:53 - Безопасная экосистема разработки 47:49 - Проблемы с памятью и микросервисной архитектурой 48:47 - Проблемы с безопасностью и инфраструктурой 51:25 - История о стажере-саботажнике в ByteDance 54:55 - Контроль артефактов и безопасность 01:00:26 - Экосистема для разработчиков
