Могут ли автотесты заменить человека в поиске уязвимостей: интервью с Александрой Сватиковой

Все блоги / Про интернет 13 ноября 2019 258

Александра Сватикова работает экспертом по информационной безопасности в Одноклассниках. Более 8 лет назад она перешла от разработки на Java к тестированию безопасности приложений.

Мы взяли у неё интервью, где обсудили:

сложно ли перейти разработчику в аналитику приложений;

различия в работе пентестера, ресерчера и аналитика;

security development lifecycle или SDLC;

роль человека в поиске уязвимостей;

как обстоят дела с аналитикой безопасности в других компаниях.

В этой статье не будет хардкора — за ним можно съездить на Heisenbug 2019 Moscow, где Александра расскажет о статическом тестировании безопасности. Подробнее к её докладу перейдём в конце поста, а пока добро пожаловать под кат.

Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Уязвимости в реализации межпроцессного взаимодействия в Android-приложениях

Последние 6 лет я работаю экспертом по информационной безопасности в Одноклассниках и отвечаю за безопасность приложений. Мой доклад сегодня — о механизмах межпроцессного взаимодействия в андроиде и уязвимостях, связанных с их неверным использованием. Но сначала пара слов о том, как появился этот

подробнее »

29 октября 2020

Консорциум OWASP обновил Web Security Testing Guide

Проект «Руководство по тестированию веб-безопасности» (Web Security Testing Guide — WSTG) является основной методологией тестирования безопасности для разработчиков веб-приложений и специалистов по информационной безопасности и разрабатывается международным консорциумом OWASP. Читать дальше →

подробнее »

23 апреля 2020

Безопасность приложений, или Как внедрить security в заказную разработку. Личный опыт AGIMA

Digital-агентства все больше внимания уделяют безопасности инфраструктуры, в которой ведется разработка, а также начинают смотреть в сторону обеспечения безопасности приложений. Вы наверняка читали про разновидность и критичность уязвимостей, инструменты и методы обеспечения ИБ. Но как

подробнее »

2 сентября 2019

Современные методы исследования безопасности веб-приложений

В данной статье я расскажу о современных методах и подходах к тестированию безопасности веб-приложений. Читать дальше →

подробнее »

17 августа 2017

Зачем вам нужен Splunk? Аналитика событий безопасности

Было ли нарушение информационной безопасности предприятия? Какие внутренние угрозы есть у организации? Как и насколько быстро мы можем обнаружить, заблокировать или остановить атаку? В этой статье мы расскажем, как вам может помочь Splunk в поиске ответов на эти вопросы. Читать дальше →

подробнее »

8 августа 2018

AntiFuzzing: Security through obscurity!?

Зачем заморачиваться и тратить деньги и ресурсы на security? Зачем утруждать себя постановкой Security Development Lifecycle (SDL)? Зачем заниматься интеграцией fuzzing’а в процесс разработки? Зачем занимать голову знаниями о различных фаззерах типа AFL, libfuzz и т.д.? Ведь можно “просто”

подробнее »

29 октября 2018