Abstract image of a woman sitting on books and studying on a laptop

Построение Secure Development Lifecycle

Vlad Styran, profile picture
Vlad Styran

Документ обсуждает важность построения безопасного цикла разработки (secure development lifecycle, SDL) в контексте современных угроз и уязвимостей программного обеспечения. Он описывает этапы SDL, включая обучение, требования, дизайн, реализацию, проверку и релиз, акцентируя внимание на предотвращении уязвимостей и интеграции безопасности в процесс разработки. Документ также подчеркивает необходимость адаптации SDL к методологиям Agile и применения автоматизированных инструментов тестирования для обеспечения безопасности приложений.

Technology
1 of 25
Downloaded 18 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Построение Secure Development Lifecycle ! Владимир Стыран, БМС Консалтинг
Кто эти люди?.. • БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
Что у нас позади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
Наши впечатления • Типы граблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
Угрозы и стек технологий
Какие варианты? • Борьба за безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
Secure Development Lifecycle • “Изобретен” Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
Плоды SDL
Плоды SDL
Этапы SDL • Обучение • Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
Обучение • Разработка программы обучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
Требования • Утверждение требований безопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
Дизайн • Определение и документирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
Реализация • Использование техник безопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
Проверка • Переоценка модели угроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
Релиз • Создание плана реагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
Реагирование • Выполнение плана реагирования на инциденты, составленного на стадии релиза
SDL для Agile • Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
One-time • Из требований • Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
Every-sprint • Из дизайна • Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
Bucket • Из требований • Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
Ключевые концепции • Производство защищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
Gartner AST MQ Сегмент продуктов автоматизированного тестирования защищенности приложений в 2013 г.
Подведем итог • Угрозы двигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг
Спасибо за внимание! ! vladimir_styran@bms-consulting.com +380(67) 659 1342

More Related Content

PPTX
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
PDF
#root это только начало
Vlad Styran
 
PPTX
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
PDF
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
PPTX
2015 02 пм качалин sdl
Alexey Kachalin
 
PPTX
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
 
PDF
Безопасность и сертификация банковского ПО
Alex Babenko
 
PPTX
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
#root это только начало
Vlad Styran
 
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
2015 02 пм качалин sdl
Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Alex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 

What's hot (20)

PPTX
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
PPTX
дмитрий кузнецов (2)
Positive Hack Days
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
PPTX
Разработка ПО в рамках PCI DSS
Alex Babenko
 
PDF
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
 
PPTX
О PCI P2PE в общих чертах
Alex Babenko
 
PPT
Цикл безопасной разработки SDL
Alex Babenko
 
PDF
Практический опыт реализации собственной антифрод системы
SelectedPresentations
 
PDF
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
PDF
Практические особенности внедрения систем класса DLP
DialogueScience
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
PPTX
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
PPTX
Безопасная разработка приложений на практике
Pointlane
 
PPTX
Социальная инженерия
Alex Babenko
 
PPTX
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
DLP-Эксперт
 
PDF
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
SelectedPresentations
 
PDF
Семь лет поиска. Что, как и зачем мы проверяем
SelectedPresentations
 
PDF
Целевое управление доступом в сети. Техническое решение для финансовых органи...
SelectedPresentations
 
PDF
Про аудиты ИБ для студентов фин.академии
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Кот в мешке: вопросы безопасности при M&A
Positive Hack Days
 
лекция безопасная разработка приложений
Alexander Kolybelnikov
 
дмитрий кузнецов (2)
Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
Positive Hack Days
 
Разработка ПО в рамках PCI DSS
Alex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
RISSPA_SPb
 
О PCI P2PE в общих чертах
Alex Babenko
 
Цикл безопасной разработки SDL
Alex Babenko
 
Практический опыт реализации собственной антифрод системы
SelectedPresentations
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
 
Практические особенности внедрения систем класса DLP
DialogueScience
 
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
Требования по безопасности в архитектуре ПО
Positive Hack Days
 
Безопасная разработка приложений на практике
Pointlane
 
Социальная инженерия
Alex Babenko
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
DLP-Эксперт
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
SelectedPresentations
 
Семь лет поиска. Что, как и зачем мы проверяем
SelectedPresentations
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
SelectedPresentations
 
Про аудиты ИБ для студентов фин.академии
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Кот в мешке: вопросы безопасности при M&A
Positive Hack Days
 
Ad

Viewers also liked (20)

PDF
Социальные аспекты ИБ
Vlad Styran
 
PDF
правда про ложь
Vlad Styran
 
PPTX
Путевые заметки социального инженера
Vlad Styran
 
PPTX
Социальная инженерия для инженеров
Vlad Styran
 
PPTX
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
Konstantin Zavarov, ICP
 
PDF
Secure Code Reviews
Marco Morana
 
PDF
Прелюдия к атаке: практика и автоматизация OSINT
Vlad Styran
 
PDF
Recon-Fu @BsidesKyiv 2016
Vlad Styran
 
PDF
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
PPTX
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
 
PDF
SECON'2016. Бушмелев Юрий, Два титановых шарика
SECON
 
PDF
Подходы к сигнатурному статическому анализу
Positive Development User Group
 
PDF
Next generation pentest your company cannot buy
Vlad Styran
 
PPTX
Code review psyhology
Oleksiy Rezchykov
 
PDF
Secure code
ddeogun
 
PDF
Dynamic PHP web-application analysis
ax330d
 
PPTX
Этичный хакинг или пентестинг в действии
SQALab
 
PDF
Simplified Security Code Review Process
Sherif Koussa
 
PPTX
Berezha Security
Vlad Styran
 
PDF
Secure Code Review 101
Narudom Roongsiriwong, CISSP
 
Социальные аспекты ИБ
Vlad Styran
 
правда про ложь
Vlad Styran
 
Путевые заметки социального инженера
Vlad Styran
 
Социальная инженерия для инженеров
Vlad Styran
 
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
Konstantin Zavarov, ICP
 
Secure Code Reviews
Marco Morana
 
Прелюдия к атаке: практика и автоматизация OSINT
Vlad Styran
 
Recon-Fu @BsidesKyiv 2016
Vlad Styran
 
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
 
SECON'2016. Бушмелев Юрий, Два титановых шарика
SECON
 
Подходы к сигнатурному статическому анализу
Positive Development User Group
 
Next generation pentest your company cannot buy
Vlad Styran
 
Code review psyhology
Oleksiy Rezchykov
 
Secure code
ddeogun
 
Dynamic PHP web-application analysis
ax330d
 
Этичный хакинг или пентестинг в действии
SQALab
 
Simplified Security Code Review Process
Sherif Koussa
 
Berezha Security
Vlad Styran
 
Secure Code Review 101
Narudom Roongsiriwong, CISSP
 
Ad

Similar to Построение Secure Development Lifecycle (20)

PDF
Построение процесса безопасной разработки
Positive Development User Group
 
PDF
Цикл безопасной разработки
RISClubSPb
 
PPTX
Enterprise Developers Conference 2010
Sergey Orlik
 
PPTX
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
PDF
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
PPTX
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
PPT
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Kirill Rubinshteyn
 
PPTX
Анализ угроз ИБ компаниям-разработчикам СЗИ
Alexey Kachalin
 
PDF
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
PDF
Защита информации. Вводная лекция.
Ivan Ignatyev
 
PPTX
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
PPTX
Secure development
Ihor Uzhvenko
 
PPTX
Ломать и строить. PHDays 2015
Alexey Kachalin
 
PDF
AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)
Ontico
 
PPTX
разработка безопасного кода
Andrey Somsikov
 
PPTX
Msf Dz
Digital Zone
 
PDF
Подходы к безопасности программного обеспечения.
SelectedPresentations
 
PPTX
Sdlc by Anatoliy Anthony Cox
Alex Tumanoff
 
PPTX
Внедрение систем мониторинга и защиты информации
MNUCIB
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 
Построение процесса безопасной разработки
Positive Development User Group
 
Цикл безопасной разработки
RISClubSPb
 
Enterprise Developers Conference 2010
Sergey Orlik
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
Безопасная разработка (СТАЧКА 2015)
Alexey Kachalin
 
Дмитрий Истомин (УЦСБ): думать об элементарной безопасности web-приложений эт...
Kirill Rubinshteyn
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Alexey Kachalin
 
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
Защита информации. Вводная лекция.
Ivan Ignatyev
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Secure development
Ihor Uzhvenko
 
Ломать и строить. PHDays 2015
Alexey Kachalin
 
AppSec, ключ на старт! / Юрий Сергеев (Swordfish Security)
Ontico
 
разработка безопасного кода
Andrey Somsikov
 
Msf Dz
Digital Zone
 
Подходы к безопасности программного обеспечения.
SelectedPresentations
 
Sdlc by Anatoliy Anthony Cox
Alex Tumanoff
 
Внедрение систем мониторинга и защиты информации
MNUCIB
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Вячеслав Аксёнов
 

More from Vlad Styran (15)

PPTX
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
Vlad Styran
 
PDF
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Vlad Styran
 
PPTX
The sooner the better but never too late
Vlad Styran
 
PPTX
Threat Modeling 101
Vlad Styran
 
PPTX
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
Vlad Styran
 
PPTX
Application Security Webcast
Vlad Styran
 
PDF
Sigma Open Tech Week: Bitter Truth About Software Security
Vlad Styran
 
PDF
NoNameCon partnership opportunities
Vlad Styran
 
PPTX
BruCON 0x09 Building Security Awareness Programs That Don't Suck
Vlad Styran
 
PPTX
Организация, культура, и управление кибер-безопасностью
Vlad Styran
 
PDF
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
PDF
Fantastic Beasts and where to hide from them
Vlad Styran
 
PPTX
Кібер-Шмібер
Vlad Styran
 
PPTX
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Vlad Styran
 
PDF
Центр оперативного управления информационной безопасностью
Vlad Styran
 
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Vlad Styran
 
The sooner the better but never too late
Vlad Styran
 
Threat Modeling 101
Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
Vlad Styran
 
Application Security Webcast
Vlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Vlad Styran
 
NoNameCon partnership opportunities
Vlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
Vlad Styran
 
Организация, культура, и управление кибер-безопасностью
Vlad Styran
 
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
Fantastic Beasts and where to hide from them
Vlad Styran
 
Кібер-Шмібер
Vlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Vlad Styran
 
Центр оперативного управления информационной безопасностью
Vlad Styran
 

Построение Secure Development Lifecycle

  • 2. Кто эти люди?.. • БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
  • 3. Что у нас позади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
  • 4. Наши впечатления • Типы граблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
  • 5. Угрозы и стек технологий
  • 6. Какие варианты? • Борьба за безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
  • 7. Secure Development Lifecycle • “Изобретен” Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
  • 10. Этапы SDL • Обучение • Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
  • 11. Обучение • Разработка программы обучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
  • 12. Требования • Утверждение требований безопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
  • 13. Дизайн • Определение и документирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
  • 14. Реализация • Использование техник безопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
  • 15. Проверка • Переоценка модели угроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
  • 16. Релиз • Создание плана реагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
  • 17. Реагирование • Выполнение плана реагирования на инциденты, составленного на стадии релиза
  • 18. SDL для Agile • Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
  • 19. One-time • Из требований • Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
  • 20. Every-sprint • Из дизайна • Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
  • 21. Bucket • Из требований • Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
  • 22. Ключевые концепции • Производство защищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
  • 24. Подведем итог • Угрозы двигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг