Безопасный код: что это такое и как вовлечь разработчиков в решение проблем безопасности

Гость: Юрий Шабалин — генеральный директор «Стингрей Технолоджиз», ведущий архитектор ГК Swordfish Security. Трудится в кибербезе больше 10 лет, специализируется на внедрении практик безопасной разработки, построении процессов DevSecOps, аналитике и тестировании приложений. Имеет успешный практический опыт в создании единого процесса безопасной разработки с нуля, внедрения SSDL и тестировании на уязвимость мобильных банковских приложений («Сбербанк-Технологии», «Альфа-Банк»). Ведёт телеграм-канал Mobile AppSec World: Содержание выпуска: — В чём проблема разработчиков с безопасностью — разве они по умолчанию не должны писать безопасный код. — Что вообще такое безопасный код, какие у безопасности критерии. — Как понять, что в проекте есть проблемы с безопасностью кода и приложения, если приложение никогда не ломали. — Насколько это выгодно и финансово оправданно — писать безопасный код на стадии MVP или другой ранней стадии развития проекта. — Как обстоят дела с культурой безопасного кода в России и за рубежом. — Какие проблемы с безопасностью бывают в проектах, чем они грозят компании или команде. — Как сделать разработку безопасной. — Что такое центр безопасной разработки и как его выстроить. — Как вовлечь разработчиков в решение вопросов безопасности и не вызвать недовольства или оттока кадров. — Чего разработчики не знают о безопасности и что им стоило бы узнать. Какие ошибки в этой области они чаще всего совершают. — Как подружить безопасников и разработку. — На какие этапы делится создание центра безопасной разработки. — Какие ошибки можно совершить на каждом из этапов создания центра, какие сложности приходится преодолевать. — Как итеративно улучшать центр безопасной разработки. — Кто должен отвечать за такой центр и какими качествами он должен обладать. — С чего начать создание центра. — Какие механики помогают вовлекать в проблемы безопасности всю компанию. Полезные ссылки: Телеграм-канал Юрия Mobile AppSec World Фреймворки для безопасной разработки: OWASP SAMM ( — доступен только с VPN) и BSIMM () Конференции по безопасной разработке: OffZone (), Positive Hack Days (), ZeroNights () Стартовать в программировании вместе со Skillbox: Наш подкаст удобно слушать на популярных платформах: Castbox: «Яндекс.Музыка»: Apple Podcasts: Google Podcasts: Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!