Безопасность + Разработка = ♡ Как выпускать релизы в срок и дружить с безопасностью
В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и...
Обрабатывать ли в PVS-Studio вывод других инструментов?
Анализатор PVS-Studio умеет "схлопывать" повторяющиеся предупреждения. Предоставляет возможность задать baseline, что позволяет легко внедрять статический анализ в legacy-проекты. Стоит ли предоставить эти возможности для сторонних отчётов? Читать дальше →...
Какие гаджеты могут заменить смартфоны в будущем
Источник Мобильная радиосвязь впервые была использована более века назад, в далёком 1921 году, полицией Детройта (USA). Но первая коммерческая сеть появилась только в 1946-м. Компании AT&T и Bell Telephone Laboratories развернули радиосеть обслуживания своих абонентов в Сент Луисе (USA) и его...
CROC&TALK. Истории о командных процессах и коммуникации в DevSecOps
Привет, Хабр! Приглашаем начать “давайте после майских” с митапа :) Ждем вас 12 мая в 18:00 на новый CROC&TALK – в этот раз будем обсуждать DevSecOps. Поговорим о том, как запустить процесс безопасной разработки, не выстрелить себе в колено, а спецам по информационной безопасности и разработке...
Что такое «цифровая трансформация» на деловом жаргоне
IT-индустрия быстро меняется. Практически каждый год появляются новые понятия, концепции, тренды, новые термины. Потом они исчезают или заменяются другими словами, которые обозначают чуть новое понятие. Это нормальный процесс, ведь реальность вокруг постоянно меняется — и язык отражает эти...
Проект RISK: как мы управляем уязвимостями эффективно
Мы серьёзно подходим к вопросам информационной безопасности наших продуктов: бережно относимся к пользовательским данным и разрабатываем сервисы с учётом требований информационной безопасности (ИБ) и публичных стандартов по разработке безопасных приложений. К сожалению, при этом всё равно могут...
Эволюция системы безопасности Android или как защищается система сегодня
С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в системе безопасности. Я Анастасия Худоярова, ведущий специалист по безопасной разработке в...
Все, что нужно знать про «Broken access control»
В минувшем году OWASP обновил список TOP-10 самых распространенных векторов атак на современные веб-приложения. Этот список претерпел ряд изменений по сравнению с его последней редакцией, которая была в далеком 2017 году. В связи с чем мне бы хотелось рассказать о наиболее серьезной угрозе...
Как посчитать стоимость разработки аппаратного продукта?
Если предприниматель планирует производить приборы, станки или гаджеты - этот вопрос будет одним из первых. Обычно люди недооценивают затраты на разработку, производство и масштабирование нового электронного аппаратного продукта. По этой причине подобные стартапы часто терпят неудачу: либо...
1000 глаз, которые не хотят проверять код открытых проектов
Есть такой миф, что открытое программное обеспечение более качественное и безопасное, чем закрытое. Много раз это обоснованно ставилось под сомнение. Существует примеры, когда в открытом коде находили эпичные уязвимости, которые скрывались от разработчиков и пользователей долгие годы. Я считаю, что...
Безопасная разработка: какую часть Sec занимает в DevSecOps
Всем привет! Меня зовут Тимур Гильмуллин, я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры занимаются автоматизацией различных процессов и помогают программистам и тестировщикам. В числе прочего...
Как ищут секьюрити уязвимости
Всем привет. Сегодня я хотел бы разобрать какие есть подходы для поиска секьюрити уязвимостей в коде и выяснить как можно обезопасить своё приложение от различных атак. Читать далее...
Путь в ИТ: разработчик с 30-летним опытом о карьере, олдскульном программировании, переписывании чужого кода и правилах
В нашем первом посте для Habr мы рассказывали про сотрудника, который в один момент радикально изменил карьеру – ушел из пилотов вертолетов в тестировщики. Отклик был очень хорошим, мы продолжили искать интересные истории внутри компании. В прошлом году к нашей команде присоединился специалист,...
Как выбрать инструмент статического анализа
Использование инструментов для повышения и контроля качества кода может стать важным фактором успеха при реализации сложных программных проектов. Например, к таким инструментам относятся статические анализаторы. На данный момент они доступны в большом количестве: от бесплатных с открытым исходным...
Как внедрить безопасность в процесс разработки. Опыт нашей команды
Привет! Я — Виктория Граненко, Security Automation Engineer в NIX. Свой путь в мир IT я начинала, как General QA, распараллеливая мануальные и автоматизированные задачи тестирования. Мне всегда нравилась автоматизация процессов. В мои обязанности не входили задачи по безопасности. Во время...
Безопасность для айтишников: как научить разработчиков устранять уязвимости и создавать безопасные приложения
Разработчики уделяют большое внимание дизайну программных продуктов для гаджетов, стараясь сделать их максимально удобными. Люди охотно устанавливают мобильные приложения и регистрируются в них. А что насчет безопасности данных, которые мы доверяем производителям этих приложений? И как научить(ся)...
Опрос: что вы думаете о DevSecOps?
Внимание, разработчики, а еще хабровчане! Кто еще, как ни вы, можете рассказать нам о том, как обстоят дела с безопасной разработкой у вас в компании — ее успехом, присутствием или отсутствием. Расскажите, что вы думаете о DevSecOps и что хотели бы узнать о нем. Предлагаем пройти анонимный опрос. С...
Оценочный уровень доверия (ОУД4) и ГОСТ Р ИСО/МЭК 15408-3-2013. Разработчик
Вторая статья цикла, посвященного ОУД, рассказывает о проблеме с позиции разработчика прикладного ПО (или заказчика, который должен получить гарантии безопасности конечного продукта). Давайте ненадолго абстрагируемся от ОУД. Представьте, что вы разработчик и создаете приложение для финансовых или...