Безопасный код: что это такое и как вовлечь разработчиков в решение проблем безопасности

Содержание выпуска

• В чём проблема разработчиков с безопасностью — разве они по умолчанию не должны писать безопасный код?
• Что вообще такое безопасный код, какие у безопасности критерии.
• Как понять, что в проекте есть проблемы с безопасностью кода и приложения, если приложение никогда не ломали.
• Насколько это выгодно и финансово оправданно — писать безопасный код на стадии MVP или другой ранней стадии развития проекта.
• Как обстоят дела с культурой безопасного кода в России и за рубежом.
• Какие проблемы с безопасностью бывают в проектах, чем они грозят компании или команде.
• Как сделать разработку безопасной.
• Что такое центр безопасной разработки и как его выстроить.
• Как вовлечь разработчиков в решение вопросов безопасности и не вызвать недовольства или оттока кадров.
• Чего разработчики не знают о безопасности и что им стоило бы узнать. Какие ошибки в этой области они чаще всего совершают.
• Как подружить безопасников и разработку.
• На какие этапы делится создание центра безопасной разработки.
• Какие ошибки можно совершить на каждом из этапов создания центра, какие сложности приходится преодолевать.
• Как итеративно улучшать центр безопасной разработки.
• Кто должен отвечать за такой центр и какими качествами он должен обладать.
• С чего начать создание центра.
• Какие механики помогают вовлекать в проблемы безопасности всю компанию.

Полезные ссылки

• Телеграм-канал Юрия Mobile AppSec World
• Фреймворки для безопасной разработки: OWASP SAMM (доступен только с VPN) и BSIMM
• Конференции по безопасной разработке: OffZone, Positive Hack Days, ZeroNights

Слушать выпуск