Гость — Алексей Морозов, руководитель отдела процессов AppSec в Тинькофф.О чём болтаем?Раскладываем по полочкам, как работают инструменты статического и динамического анализа — SAST и DAST, и зачем найденные при помощи анализаторов уязвимости нужно проверять еще и в ручном режиме. Обсуждаем градацию критичности уязвимостей, способы их обнаружения и механику устранения. Выясняем, где грань между white hat и black hat хакерами. И самое важное: помним, что есть два типа компаний — которым нужна безопасность и которые еще не доросли до того, что она им нужна — то есть не столкнулись с хакерами.Ссылки:Доклад Алексея Морозова: https://www.youtube.com/watch?v=z8GHPnbitQAТаймкоды:0:33 О чем болтаем?1:17 Кто такой Алексей Морозов2:40 Чем занимается команда AppSec3:53 Как организована работа команды AppSec5:42 Направления работы AppSec и взаимодействие с командами7:46 Как внедрять проверки безопасности в свой рабочий процесс12:43 Большая ли нагрузка у членов команды AppSec14:14 Как ковид нагрузил безопасность15:52 Можно ли полностью автоматизировать проверки безопасности, и что такое DAST20:40 Результат прохождения DAST может заблокировать релиз?21:43 Градация критичности уязвимостей24:19 Источники уязвимостей и как их обнаружить25:32 О том, как внутри Тинькофф сотрудники могут заработать на обнаружении уязвимости26:57 Как высчитывается стоимость уязвимости и стоимость ее исправления27:47 Что если в проект подложили вредоносный код31:22 Про механику уязвимости log4shell32:55 Какими бывают хакеры36:28 Краткая инструкция для команд разработки38:14 Памятка пользователю — как не допустить утечку персональных данных41:26 БлицКанал IT’s Tinkoff в Телеграме: https://t.me/itstinkoffБольше про карьеру в IT в Тинькофф: https://l.tinkoff.ru/about-it-career