Достигнув больших масштабов, систему сложно покрыть одними пентестами. И тогда компании объявляют Bug Bounty. В этом выпуске мы разбираемся во всех тонкостях процесса. Мы пригласили руководителя направления VK Bug Bounty и профессионального пентестера. Они рассказали, когда компаниям пора объявлять конкурс по поиску уязвимостей и сколько платят багхантерам. А также поделились забавными случаями из опыта. Гости выпуска: — Петр Уваров — руководитель направления VK Bug Bounty из команды...

Сломали вебчик, а что дальше? Мы оказываемся в контейнере внутри K8s. Что злоумышленник может сделать дальше и может ли вообще что-либо сделать? Об этом мы узнаем в новом выпуске подкаста. А гости расскажут крутые истории из практики. Говорим про:  — отличия пентеста контейнеров от пентеста веба и инфраструктуры;  — компетенции специалиста, который этим занимается; — уязвимости и способы защитить контейнеры. Гости выпуска: — Сергей Канибор — R&D / Container Security в Luntry....

Что строят архитекторы безопасности, кроме серьезного лица? Какой строительный вуз нужно закончить, чтобы стать таким архитектором? Как собрать свою бригаду безопасников? Отвечаем на эти вопросы в подкасте. Для этого мы пригласили специалистов этой сферы. Они расскажут, чем отличается работа архитекторов ИБ в разных компаниях, и поделятся забавными случаями из опыта, когда архитекторы могут спасти ситуацию. Гости выпуска: — Владимир Поглазов — инженер информационной безопасности, Rakuten...

На SafeCode 2024 мы уже поговорили, что делать разработчикам, когда к ним «постучались» — и как специалистам по безопасности «стучаться» правильно.  В подкасте более развернуто отвечаем на вопросы: — какие аргументы использовать обеим сторонам, чтобы найти компромисс? — как избежать незапланированных изменений и непонятных задач в духе «исправить сейчас же»? — у кого должен быть рубильник, который останавливает релиз? В студии снова встретились: — Дмитрий Шмойлов — руководитель...

Позвали трех людей, знающих, что такое Application Security не понаслышке.  Ведущий Алексей Федулаев, DevSecOps Team Lead в Wildberries, и гости выпуска — Виктор Бобыльков, CISO в MTS Web Services, Алексей Морозов, руководитель Application Security в Samokat.tech и Александра Сватикова, системный архитектор команды Identity and Access Management в Yandex Cloud — обсуждают: — что из себя представляет современное веб-приложение и как обеспечивается его безопасность; — чем занимаются...

Участники обсуждают: «первое знакомство» с безопасностью контейнеров; безопасность рантайма контейнеров; типичные недоработки: отсутствие CVE, привилегированный контейнер и не только; инструменты для проверки уязвимостей; усиление защиты контейнеров.    Гости: — Артем Бачевский, разрабатывает и автоматизирует процессы AppSec. В свободное время занимается исследованием вопросов кибербезопасности.  — Дмитрий Евдокимов, основатель и CTO Luntry.  — Алексей Федулаев, руководитель направления...

Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.   Участники обсуждают: — назначение статических анализаторов; — типы и алгоритмы анализа; — уровень качества, которые обеспечивают подходы к анализу кода; — ложноположительные и ложноотрицательные срабатывания; — контекстные особенности при анализе разных языков программирования; — способы сравнения SAST-инструментов.   Гости: — Андрей Белеванцев, ведущий научный сотрудник...

Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.  Участники обсуждают:  что такое Secure by design; зачем заниматься SBD и стоит ли применять этот подход для каждого продукта; чем SBD отличается от безопасной разработки;  что делать, если «уже сделано небезопасно»; может ли SBD-продукт стать небезопасным; как стать компетентным в SBD; существуют ли общие концепции и стандарты.  Гости: Сергей Рогачев, руководитель...

В этом выпуске участники обсуждают:   — кейсы использования AI: от оптимизации SQL-запросов и UI-дизайна до создания плагинов и применения LLM в разработке; — риски обучения на уязвимом коде; — естественный язык в Snowflake; — SecDev (решение задач безопасности) vs DevSec (контроль разработанного) — «горячую» тему замены ИБ-специалиста ML-решением.   Гости:   — Радда Юрьева, ML-инженер команды AppSec в Positive Technologies. — Александр Халиков, специалист группы исследований...

Этот выпуск о том, что нужно знать разработчикам мобильных приложений про безопасность в современном «мобильном» мире. Гости выпуска обсуждают: — зачем злоумышленникам взламывать мобильные приложения; — какие факторы заставляют обращать больше внимания на мобильную безопасность, чем на веб: от размера аудитории до особенностей дистрибуции приложений; — насколько аудиты в сторах проверяют наличие уязвимостей и безопасность приложения в целом; — как выстроить процесс безопасной разработки...

В этом выпуске разбираемся в ролях, связанных с безопасностью, и кого и как искать, если регулятор поставил условие, что «должна быть безопасность». Гости выпуска обсуждают:  — чем занимаются специалисты по безопасности; — кто такой security-чемпион и как им стать, если ты — разработчик; — кто такой AppSec Business Partner; — какие возможности у найма с рынка — основные проблемы и подводные камни; — как проводить собеседование; — что спрашивать у работодателя, если ты ищешь работу; —...

Гости выпуска обсуждают спортивное состязание хакеров — Capture the Flag (CTF). Подробно рассматривают: — CTF в целом и Task-Based CTF (Jeopardy) в частности; — пример типового захвата флага, какие могут быть задачи в процессе, и как CTF помогает лучше понять пентесты и реверс-инжиниринг; — интересные и неожиданные уязвимости; — важность навыка работы над задачей в условиях неопределенности и тимбилдинг во время командного CTF в компании; — CTF в сравнении со спортивным...

В этом выпуске поговорим о том, как сделать ваше решение более безопасным с помощью инженерных практик. С чего начинается небезопасная разработка? Многие подумают, что с уязвимостей, которые допускают программисты в коде: переполнение массива в C++, cross-site scripting, торчащие наружу API. На самом деле подавляющее большинство эвине программистов, а по причине непродуманной архитектуры, недостатка документации, неконтролируемого изменения кода и деплоя. В этом выпуске поговорим о том, как...