Проблемы построения безопасной разработки (HelloConf MTS-2020) — различия между версиями

{{vimeoembed|240322290|800|450}}
{{youtubelink|QEuTJLcPZBU}}{{letscomment}}

{{SlidesSection}}
[[File:Проблемы построения безопасной разработки (Андрей Пьянков, HelloConf MTS-2020).pdf|left|page=-|300px]]

{{----}}
[[File:{{#setmainimage:Проблемы построения безопасной разработки (Андрей Пьянков, HelloConf MTS-2020)!.jpg}}|center|640px]]
{{LinksSection}}
<!-- <blockquote>[©]</blockquote> -->

{{fblink|2653884531531218}}                                          
{{vklink|1708}}                                          
<references/>





<!-- topub -->

[[Категория:HelloConf MTS-2020]]
[[Категория:Информационная безопасность]]
[[Категория:DevOps]]
[[Категория:Information Security]]
{{stats|disqus_comments=0|refresh_time=2020-07-19T00:07:00.696004|vimeo_plays=2|youtube_comments=0|youtube_plays=45}}

Версия 10:02, 16 августа 2020

Докладчик

• 
  Андрей Пьянков
• 
  Денис Шефановский

• Практики DevSecOps, что они могут дать компании и продуктовой команде.
• Чем управляет информационная безопасность и чем она занимается.
• Какие модели организации взаимодействия ИБ и команд.

• DevSecOps это не модное слово, а необходимая реальность. Забота о безопасности потребителя всё больше ложиться на компании разрабатывающие информационные продукты. Сервисы и продукты не учитывающие ИБ при построении и обслуживании своих решений не будут востребованы потребителями.
• Одна голова хорошо, а 3 лучше. Тесное взаимодействие разработки, безопасности и эксплуатации позволяют предотвращать уязвимости на самых ранних стадиях производства, снижая стоимость владения продукта и улучшая пользовательский опыт, а значит и прибыль.
• Делай хорошо, плохо — само получиться. На всём процессе производства ПО необходимо заниматься устранениям уязвимостей:
  • устранение уязвимостей в коде,
  • выявление и устранение закладок,
  • устранение уязвимостей в сторонних компонентах (уязвимые библиотеки и тд),
  • скупка уязвимостей,
  • использование deploy dmz для доставки программ конечному пользователю,
  • развертывание в prod без уязвимостей в окружении и конфигурации,
  • защита процесса производства.
• Как можно организовать DevSecOps — рассмотрим DevSecOps с трех сторон:
  • Как общекомандный сервис
  • DevSecOps внутри команды разработки
  • DevSecOps: как сервис для PaaS
• Где взять столько сотрудников безопасности? Роль Security Champion — интерфейс в продуктовую команду по ИБ! Создание такой роли внутри команды, позволит снизит вложения компании в ИБ

Бизнес диктует свои правила развития методологий разработки ПО заключающиеся в ускорении поставки и повышении качества своих продуктов. Методологии DevSecOps позволяют объединить преимущества быстрой выкатки и безопасности, оптимизировать затраты компании, улучшить пользовательский опыт.

Видео

Презентация

Примечания и ссылки

• Discuss on Facebook
• Discuss on VK

Plays:47   Comments:0