Ужасно медленная QA с крайне неэффективными инструментами в поисках Грааля

QA Challenge Accepted - 3

Конспект доклада How to secure your application with Secure SDLC by Dmytro Tereshchenko

Ожидала, что будет совсем непонятно, но оказалось, что доклад рассчитан на вполне широкую аудиторию.

О чем доклад? О том, как начать работать с обеспечением безопасности на проекте.

Проблемы:

- мало специалистов по секьюрити тестированию (спрос при этом большой).
- нет капасити для такого тестирования. На уровне организации - почти нет. На уровне типовой небольшой команды - вообще нет.

Также есть идея, что для секьюрити тестирования нужен обязательно отдельный специалист по секьюрити. Тем не менее, есть возможность что-то сделать и без такого специалиста.

С чего начать? С принятия, что нужно что-то сделать с капасити.

Еще один момент: если думать только про тестирование безопасности (например, пентестинг), то получится, что мы вкладываемся в безопасность на стадии тестирования. Это поздновато. Решение: привнести секьюрити практики на всех стадиях жизненного цикла ПО.

Для этого есть разные фреймворки. ПО развивается быстрее, чем стандарты, но это не значит, что их совсем нельзя использовать.

Дальше докладчик рассказал про разные практики и про то, что каждая практика имеет свой уровень зрелости. Можно добавлять практики (начиная с чего-то самого простого) первого уровня зрелости, смотреть, как они работают, потом итеративно двигаться дальше. Если попытаться заскочить сразу на третий уровень зрелости, скорее всего, ничего не получится.

Куда можно посмотреть:

- OWASP Top 10 высокоуровневые рекомендации
- OWASP cheat sheet project
- OWASP application security verification standard
- OWASP Mobile ASVS on Github

А также основы секьюрного дизайна:

- Для разработки и QA: common vulnerabilities
- Для менеджеров проектов: secure SDLC

Работа над улучшением безопасности - не просто образование, это изменение культуры команды. Это будет вызывать сопротивление и потребует времени. Внутри команды можно найти security champion. Это не специалист по безопасности, а кто-то, кто заинтересован в безопасности и готов ее адвокатировать. Важно найти человека (или людей), кто хочет быть security champion, поддерживать его (усилиями, ресурсами), промоутить. Это тот человек, который может работать как API между командой разработки и экспертом по безопасности.

П. С. Я и нашла видео того же автора на русском. Контент примерно тот же (либо очень похожий).

Linkedin

Безпека понад усе! | Sigma Software University

Безпека понад усе!
Звітуємо, як учора пройшов онлайн-мітап Secure Application with OWASP SAMM з Дмитром Терещенком

Про цикл розробки безпечного ПЗ - поговорили☑️
Особливостями практик Secure SDLC - оволоділи☑️
Використовувати OWASP SAMM - навчилися☑️
Як…

🔥10👍7

www.tgoop.com/QA_with_a_spoon/56

1.4K viewsOct 19, 2023 at 19:02

QA Challenge Accepted - 3

Конспект доклада How to secure your application with Secure SDLC by Dmytro Tereshchenko

Ожидала, что будет совсем непонятно, но оказалось, что доклад рассчитан на вполне широкую аудиторию.

О чем доклад? О том, как начать работать с обеспечением безопасности на проекте.

Проблемы:

- мало специалистов по секьюрити тестированию (спрос при этом большой).
- нет капасити для такого тестирования. На уровне организации - почти нет. На уровне типовой небольшой команды - вообще нет.

Также есть идея, что для секьюрити тестирования нужен обязательно отдельный специалист по секьюрити. Тем не менее, есть возможность что-то сделать и без такого специалиста.

С чего начать? С принятия, что нужно что-то сделать с капасити.

Еще один момент: если думать только про тестирование безопасности (например, пентестинг), то получится, что мы вкладываемся в безопасность на стадии тестирования. Это поздновато. Решение: привнести секьюрити практики на всех стадиях жизненного цикла ПО.

Для этого есть разные фреймворки. ПО развивается быстрее, чем стандарты, но это не значит, что их совсем нельзя использовать.

Дальше докладчик рассказал про разные практики и про то, что каждая практика имеет свой уровень зрелости. Можно добавлять практики (начиная с чего-то самого простого) первого уровня зрелости, смотреть, как они работают, потом итеративно двигаться дальше. Если попытаться заскочить сразу на третий уровень зрелости, скорее всего, ничего не получится.

Куда можно посмотреть:

- OWASP Top 10 высокоуровневые рекомендации
- OWASP cheat sheet project
- OWASP application security verification standard
- OWASP Mobile ASVS on Github

А также основы секьюрного дизайна:

- Для разработки и QA: common vulnerabilities
- Для менеджеров проектов: secure SDLC

Работа над улучшением безопасности - не просто образование, это изменение культуры команды. Это будет вызывать сопротивление и потребует времени. Внутри команды можно найти security champion. Это не специалист по безопасности, а кто-то, кто заинтересован в безопасности и готов ее адвокатировать. Важно найти человека (или людей), кто хочет быть security champion, поддерживать его (усилиями, ресурсами), промоутить. Это тот человек, который может работать как API между командой разработки и экспертом по безопасности.

П. С. Я и нашла видео того же автора на русском. Контент примерно тот же (либо очень похожий).

BY Ужасно медленная QA с крайне неэффективными инструментами в поисках Грааля