Guest
В этом эпизоде подкаста Сергей Зайцев - Руководитель группы разработки в крупной IT-компании и Владимир Ченцов - Руководитель департамента комплексного аудита ИБ и безопасной разработки «Бастион» обсудят тему взаимодействия разработчика и безопасника на всех этапах разработки ПО. Эксперты обсудят этапы жизненного цикла DevSecOps, ограничения на использование компонентов разработки, как это выгодно бизнесу и что делать дальше. 0:00 Начало 1:08 О чем сегодняшний выпуск 2:04 Что такое разработка? 4:36 Первая реакция разработчика на утечку информации 6:30 Когда нужно задумываться о безопасности? 9:01 База данных с критической уязвимостью 10:20 Вопрос выбора компонентов разработки с точки зрения безопасности 14:35 Безопасность - вопрос диалога 18:30 Баги в разработке 26:41 Сканер нашёл 5000 уязвимостей 32:36 Проектная документация 36:50 Какие уязвимости закрывать в первую очередь? 39:17 Как безопаснику договариваться с разработчиком? 43:51 Слив через внутренних пользователей 50:50 Ограничено всё, кроме того, что разрешено 54:38 Секреты и разработчик 1:00:30 А что с Time To Market? 1:04:30 Может ли команда безопасности сделать свою работу без разработчиков? 1:06:15 Длительность внедрения безопасность разработки 1:11:17 Что будет дороже: принять риски или внедрить безопасную разработку? 1:15:22 Как убедиться, что подрядчик закрывает риски? 1:19:02 Насколько важно разработчику знать, каким образом будет проиходить анализ исходного кода 1:25:40 Резюмируем Tg: Владимир: vvllchh Сергей: sergeyzaitsev Предложения / Сотрудничество: vsepoib@ Проект “Бастиона“:
