КИБЕРБЕЗОПАСНОСТЬ и DevSecOps / Хакеры НЕ ПРОЙДУТ! / Product Director Positive Technologies
ฝัง
- เผยแพร่เมื่อ 5 มิ.ย. 2024
- Сегодня мы узнаем, как принципы кибербезопасности внедряются в процесс разработки, помогают от атак хакеров, и помагают программистам делать действительно качественный код. В гостях Products Director компании Positive Technologies Денис Кораблёв.
В выпуске мы поговорили про технический опыт Дениса (а он у него ооочень богатый), про концепции из DevSecOps: SSDL, SCA, NVD, DAST, SAST, RASP и про внедрение подходов к написанию безопасного кода.
Так что, заваривайте чаинский/кофеинский и погнали, будет кайфово!😉
ДОП. МАТЕРИАЛЫ:
- Positive Technologies: www.ptsecurity.com
- Материалы и ссылки из выпуска: t.me/itbeard/605
- Аудио-версия выпуска: / e119
- Стать спонсором канала: th-cam.com/users/itbeardjoin
НАВИГАЦИЯ:
0:00 - Начало
3:16 - Продажа газет
7:04 - Физмат лицей
15:36 - Университет
22:37 - Поездка в Канаду
26:30 - Законный перехват трафика
31:48 - Работа в банке с low latency
32:48 - Алготрейдинг
37:36 - Собеседование в Skype
42:10 - Уход из Skype
43:12 - Как попал в Positive Technologies
51:30 - Что такое DevSecOps
53:20 - Почему раработчики не думают об уязвимостях
59:20 - Про внедрение DevSecOps в команде
1:12:15 - Виртуальные патчи
1:12:51 - Что меняется в процессах команды при внедрении DevSecOps
1:14:35 - Кто отвечает за периметр
1:15:27 - Security Champios
1:23:29 - Инструменты DevSecOps: SSDL, SCA, NVD, DAST, SAST etc.
1:25:56 - Динамические сканеры
1:26:58 - Статические сканеры
1:32:40 - Runtime Application Self Protection - RASP
1:36:05 - Безобасность зависимостей
1:37:00 - Конференции и источники информации
1:38:40 - РАНДОМ: SPA, за что бить разрабов и художественная литература
1:53:00 - КОНКУРС
МОИ КОНТАКТЫ:
- Подпишись на этот TH-cam канал :)
- Telegram: t.me/itbeard
- Instagram: / itbeard
- Twitter: / iamitbeard
- SoundCloud: / itbeard
- Discord: / discord
- Сайт: itbeard.com
#айтиборода #ityoutubersru #devsecops - วิทยาศาสตร์และเทคโนโลยี
НАВИГАЦИЯ и конкурсная ветка :)
0:00 - Начало
3:16 - Продажа газет
7:04 - Физмат лицей
15:36 - Университет
22:37 - Поездка в Канаду
26:30 - Законный перехват трафика
31:48 - Работа в банке с low latency
32:48 - Алготрейдинг
37:36 - Собеседование в Skype
42:10 - Уход из Skype
43:12 - Как попал в Positive Technologies
51:30 - Что такое DevSecOps
53:20 - Почему раработчики не думают об уязвимостях
59:20 - Про внедрение DevSecOps в команде
1:12:15 - Виртуальные патчи
1:12:51 - Что меняется в процессах команды при внедрении DevSecOps
1:14:35 - Кто отвечает за периметр
1:15:27 - Security Champios
1:23:29 - Инструменты DevSecOps: SSDL, SCA, NVD, DAST, SAST etc.
1:25:56 - Динамические сканеры
1:26:58 - Статические сканеры
1:32:40 - Runtime Application Self Protection - RASP
1:36:05 - Безобасность зависимостей
1:37:00 - Конференции и источники информации
1:38:40 - РАНДОМ: SPA, за что бить разрабов и художественная литература
1:53:00 - КОНКУРС
#конкурс СИБ: пароль должен содержать заглавные, прописные буквы, символы, цифры, китайские иероглифы, молитвы и последние цифры числа пи.
#конкурс а можно просто выиграть приииз 😭😭😭
#конкурс
Больше всего в безопасниках бесит то, что они опять правы и надо фиксить уязвимость:(
#конкурс Бюрократия и паранойя. Для одного клиента согласовали доработку в нашем облачном b2b приложении. На наших серверах. Вообще не стали бы никогда вносить эти изменения в функционал, т.к. они никому кроме этого клиента не нужны. Но клиент уж больно крупный. Прошли все этапы согласования с ними, (т.к. клиент крупный - та еще бюрократия). Сделали все красиво, чтобы этот функционал был доступен только этому клиенту. Внедрили. Клиент уже месяц как спокойно пользуется. Потом выяснилось что у них про безопасников забыли. И началось... Чуть до отключения фичи не дошло.
#конкурс Бесит, когда тебе срочно нужно, а не дают... доступ)
Пишет на плюсах, работает в Positive Technologies - какой позитивный гость!)
Потрясающе умный и интересный человек!Не мог оторваться,спасибище.)
Пожалуй, одно из не многих интервью про безопасность, в котором реально интересно рассказывали
Спасибо за интервью. Гость очень крутой как специалист.
p.s. Мне одному кажется, что гость имеет общие черты внешности Бил Гейтса ?! )))
Человек кайфует от своего дела, всегда приятно послушать профессионалов в какой-то сфере, пусть тебе понятно от силы 30-40%, но ты в маленькую щёлочку можешь посмотреть на совершенно другой мир. Потрясно.
Позови на интервью Андрея Созыкина!!
Офигенный видос!
От начала и до конца на одном дыхании!
Очень интересно! Спасибо за спикера, вопросы и большой труд!
В безопасниках бесит то, что ты не можешь им объяснить, как сделать так, чтобы они перестали тебя бесить.
ахахаха) #конкурс
Они ограничивают свободу, а это бесит. Поэтому силовые тренировки и т.п. "бодрят"
"рекурсивное бешенство".
Позитив хлынул с первых минут интервью)) Очень круто, спвсибо)
Одно из самых интересных интервью, у гостя очень большая скорость=плотность выдачи инфы, придётся переслушивать :)
Спасибо за выпуск, понравилось)
А будет ли когда-нибудь выпуск про cloud-инженера или архитектора, CloudOps и другие Cloud*? Перспективная тема же
Мне незачем гуглить слова, которые не знаю, мне и так интересно. Особенно про 90е👍🏻
Да это вообще одно из лучших интервью на канале!
ООО, а вот это уже интересно)
Нифига себе, Фряново! Почти мой земеля :)
"Ну и что, что акции упадут. Потом отрастут!")
Круто, с юмором)) посмотрелось на одном дыхании))
Класс, сколько за последнее время выпусков. Спасибо, борода, всегда интересно слушать
на здоровье!
Бля, ребят, я вас просто обожаю, сам BackEnd - разработчик, сейчас крупный проект делаем, и меня как раз на псевдо "DevOps" поставили, сейчас ручки потер - буду внедрять идею безопасности в проект), спасибо вам огромное!
просто классный челочек , спасибо вам
Коротко про ИБ: о безопасности начинают думать после инцидентов. Впарить безопасность до инцидента - так же сложно, как впарить чистую страховку, не привязанную к конкретному риску или вещи.
В безопасниках бесит то, что их очень мало и они катастрофически разобщены и абсолютно невлиятельны: я говорю про безопасников в муниципальных структурах по гостайне, конфе и пдн. Это фикция, а не безопасники. Готов ныть про это часами, работаю по ТЗИ в муниципалитете больше семи лет.
буквально вчера спрашивал у старших коллег как проверяют код на безопасность(не в банковской сфере), не все же на доверии к разработчику, посмотрим-с)
о! Positive Technologies! Это же ребята, которые выпустили xSpider! Одно время он сильно мне помогал, пока я не пересел на Kali =)
Да-да )
Я тоже до Kali xSpider юзал.
@@user-du6iz3nx2x Огооо, здравствуйте, а вы кто по специальности, можете поделиться?)) Тоже SecDevOps?
Спасибо за стикеры, которые ты разыграл, они удачно дошли 👍👍👍
Вооот, наконец-то нормальный безопасник :)
Расстояние до эпицентра грозы считается простым умножение скорости звука на время от вспышки молнии до звука грома.
Интересно а Столяров будет?
Я как-то незаметно с 30 минуты поплыл! Придётся дважды пересматривать) Но гостю и Лексу однозначно лайк=)
Блестящий выпуск✊👏🏻🤝
Очень интересный гость, в конце удивил , спасибо!
Очень интересный выпуск и участник интервью!
20:00 Мера и Телма. Мера и сейчас работает с Аваей а Телма куплена Харманом. Так получилось что за три года поработал и там и там.
Веселый experience :D
спасибо! потрясающее интервью
на здоровье!
Спасибо Вам!
Оооооу, да, я как-то заказывал у Бороды видео на эту тему, молодчик, что всё устроил)))
на здоровье)
#конкурс
Бесит, когда создал сложный логин и пароль, а тебе сказали поставить стандартный Admin Admin
Крутое интервью и классный спикер, особенно, когда сам частично увлекаешь безопасностью) Спасибо!
Реально круто!!!
Скину своему учителю литературы то, как технари обсуждают рассказ "Конь с розовой гривой" Астафьева)
11:05 какой код он писал в 9 классе(что и зачем писал)? как он перешел от продажи пк к этому занятию?
13:48 зачем было знать за режим процессора? какие задачи это позволяло ему решать?
18:22 почему держать в голове "дерево матана" полезно в жизни?
Крутой гость... и it борода крутой
Борода, капец ты трудяга!) Я смотреть не успеваю:)
надо поубавить мне темпы...)
Ни единого разрыва
Какой прекрасный и мотивирующий собеседник!
Лекс, позовешь когда нибудь вирусного аналитика?
Тема
@@itbeard + Да Лекс...было бы очень круто (DrWeb и тд)
Вопрос к знающим - где так же можно матан выучить, что бы в голове полная картина сложилась, а не отдельными темами?
Спасибо, за выпуск!
на здоровье!
Классный видос, интересно было послушать!) А в ребятах ничего не бесит. Разве... только то, что они любят поумничать, но это их работа, простительно =)
Восхитительное видео, как интересно слушать ИБшников)
Супер 👍
увидел кибербез лайк в начале не глядя
Очень зашло то, что гость с творческой стороны раскрылся под конец
У него такой классный голос
Ничего не понятно, но очень интересно.
чуть было не запостил такой же камент :)
очень крутое интервью
спасибо!
Бесит, когда нужный тебе сетевой сервис не работает, а безопасники просят описать его взаимодействие. Но разработчики и сами этого не знают... #конкурс
Про людей "из коробки" зашло)
Он мне Билла Гейтса напоминает , рубашечка очки. такой умник нерд!
#Конкурс
Про обратную сторону: Бесит когда ты как спец по ИБ, даёшь людям подготовленные инструкции а они их нифига не используют, да просто даже не читают)
по моему челу надо было идти в искуство😊
Спасибо)
По поводу литературы : бабушка купила ему леденец несмотря на то что он мало собрал, но всё таки он что-то да сделал плюс её любимый внук, ради которого она готова на всё
#конкурс
бесит когда сервер разрывает сессию. Узнаешь об этом только когда заполнил кучу полей на странице и нажал "отправить". Приходится сначала вводить пароль, а потом заполнять все заново. Это же для безопасности делается?
Борода видос с сетевиком будет?наты, файрволлы и тд.
не скоро, очень не скоро
Расскажите пжалста, что такое Full Stack .NET Developer?
#конкурс
В ребятах из ИБ бесит их убежденность, что без них ничего бы не было. Заходишь на любой форум ИБшников и прям видишь, как они доказывают с пеной у рта, что без ИБшника в компании и жестких правил и требований все рухнет к чертям. А главное, что с этим абсолютно не справятся сисадмины, правильно сформулированная политика безопасности и настроенные системы (сети, сервера, пароли и т.п.). Таких ЧСВшных людей, считающих себя пупом земли, еще надо поискать. Другие айтишники даже близко не настолько надменные.
Здравствуйте, можно вопрос коротко? Я читал от некоторых из Айти, что DevSecOps да и вообще ИБ это узкоспециалищированная, мало кому покоряющаяся специальность в мире Айти. То есть, Топ позиций в крупных компанияз найти можно, но в целом ИБ всё еще редкость. Другие говорили что в СНГ перспектив как на Западе просто нет, для этичного хакинга и его антипода ИБ. Правда ли это??? А кто-то вообще, что это тихо отмирающая профессия
Какой симпатяжка)
сладкий пирожочек)
Просто класс !
#конкурс
Ужасно бесит, что безопасники часто бывают правы,:) но они не всегда об этом узнают;)
В безопасниках бесит то, что ты сам безопасник и никак не можешь оттуда вырваться :)))))))
Я вырвался-) Меня бесило, что все начальники либо Менты, либо еще хуже КГБ-шники, которые только знают как влючить компьютер
@@Anderic99 ну я сменил контору и стало интересней) Больше никаких бывших ментов)
Здравствуйте, можно вопрос коротко? Я читал от некоторых из Айти, что DevSecOps да и вообще ИБ это узкоспециалищированная, мало кому покоряющаяся специальность в мире Айти. То есть, Топ позиций в крупных компанияз найти можно, но в целом ИБ всё еще редкость. Другие говорили что в СНГ перспектив как на Западе просто нет, для этичного хакинга и его антипода ИБ. Правда ли это??? А кто-то вообще, что это тихо отмирающая профессия
@@Anderic99 Здравствуйте, можно вопрос коротко? Я читал от некоторых из Айти, что DevSecOps да и вообще ИБ это узкоспециалищированная, мало кому покоряющаяся специальность в мире Айти. То есть, Топ позиций в крупных компанияз найти можно, но в целом ИБ всё еще редкость. Другие говорили что в СНГ перспектив как на Западе просто нет, для этичного хакинга и его антипода ИБ. Правда ли это??? А кто-то вообще, что это тихо отмирающая профессия
@@fuji6410 , сложно сказать, так как я уже лет 5 не в теме. Раньше была редкая специальность, востребованная в банковской системе из за требований законодательства в первую очередь, придаток отдела ИТ.
- Мне было интересно могу ли я сдавать на пятёрки. Я смог, а дальше было не интересно
Напомнило анекдот:
Ситуация: комната, в которой горит костёр, угрожающий перерасти в пожар и ящик с песком.
Инженер: заходит, засыпает костёр песком и уходит.
Физик: насыпает вокруг костра вал из песка, садится и наблюдает за процессом.
Математик: заходит, видит, что решение есть, уходит.
31:20 загрузил подностью)
Крутой чувак
26 if 😳 как контролировать такую вложенность? Есть ли методика?
Бесят безопасники с не желанием понять что защищать от кого защищать и как все это в бизнесе должно применятся
Нет ли что-нибудь про кибербезопасность ?
Лекс, а где итоги всех конкурсов смотреть из интервью?
на стримах
11:44 - Постоянно в этом состоянии, скоро сгорю
Блин я сначала подумал, о знакомое лицо, думал это Пушкин из Убойной ночи. А это не он.
Рост цен и до ютуба добрался, раньше видосы 1080р стоили, теперь 2160р...
Очень интересное интервью получилось. Спасибо.
кайф!
#конкурс В безопасниках бесит их отсутсвие когда становится понятно, что лучше бы они были намного раньше
чет приуныл борода)) гость и слова не дает вставить))
Классный гость! Возьми меня на работу!) Залайкайте, что бы он увидел) я люблю линукс)
достали автоматической сменой паролей - по их мнению любовь1, любовь2,3, ... 150 - лучше, чем один но сложный
#бесит
#конкурс
Бесит, что каждый пентестер при каждой регистрации должен переступить через себя и семью, свою волю и желания, свои принципы и особенности, но не попытаться взломать форму регистрации и авторизации. И не важно, что это localhost, держи себя в руках, маленький анонимус.
1:44:22 - про непрофильную литературу.
их мировоззрение по типу "крокодилы не летают, потому что мы в ладоши хлопаем" #конкурс
8:12 блин ну это же очевидно 🙄
бесит то что их нет_)
Может rust разработчика позовëшь? Тема интересная и молодая)
очень скоро)
Бабушка в "Коне с розовой гривой" вроде сначала купила пряник, а потом поняла что внук обманул
Может, уже точно не помню. Но у неё точно оставалось время этот пряник не подарить :) но она подарила.
@@deniskorablev168 да, она могла съесть у внука на глазах, или пока не пришла домой схомячить. Там же мораль была не в том, что "потому что любим", а в том что " вот получай свой пряник, раз так хотел, но и в довесок наше тобой разочарование"
Что-то я так посмотрел кометы, получается безопасники не бесят совсем)
Смотрю название и не могу произнести... Дэвсекопсеры😬 правильно??
У вас на фоне кто то Шкаф собирает, и одновременно чай кипятит и не выключает плиту
#конкурс Бесит, когда безопасник переходит на темную сторону и хакает твою систему, которую сам же защищал.
DevSecOps это конечно хорошо, но когда будет СТОЛЯРОВ???
вы о том который Дмитрий? был же
@@an47995s Какой еще Дмитрий! Я про Андрея Столярова!
Потрясающе умный и начитанный человек. Но рассказывает об интересных вещах таким монотонным голосом, что я два раза засыпал во время просмотра. Но это мой баг.