Из секции, касающейся безопасной разработки, XII Уральский форум "Информационная безопасность финансовой сферы"
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops
Дмитрий Гадарь, CISO Тинькофф Банк:
- В Тинькофф не ограничивают разработчиков по выбранной методолоогии (Agile или Waterfall).
- В качестве фреймворка мы применяем OWASP SAMM в своей практике
- Чтобы избежать false positive SAST, мы берем на выходе то, что выходит из Application Scanner, и применяем на основе этого поиск в SAST (???)
- Не допускам того, чтобы инструменты DevSecOps служили только для генерации горы отчетов
- Пристальное внимание в практике AppSec нужно уделить управлению зависимостями и внешними библиотеками
- Необходимо регулярно пересматривать видение рисков, осущесвлять их приоритизацию
Сергей Демидов, директор департамента операционных рисков и ИБ в Московской бирже:
- Все наши эксперименты с Secure CI/CD не показывают должного показателя надежности
- ИБ должен выступать мостом в диалоге между отделами ИТ
- Мы придерживаемся Waterfall, действуя по схеме "1 день в проде, 5 дней тестов", берем от DevSecOps отдельные элементы, например, анализ кода, встраиваемый по сервисной модели
Андрей Иванов, руководитель направления по развитию облачных сервисов безопасности в Яндекс.Облако:
5 элементов культуры безпоасной разработки:
- Поддержка высшего руководства
- Наличие понятных регламентов для разработчиков ( при каких условиях разработчикам требуется обращаться к ИБ)
- Обучение безопасной разработке
- Наличие опыта Application Security у безопасников как обязательное требование
- Распределение ответственности за безопасность продуктов между team-лидами.
Общие выводы:
- Security Champions имеют высокую эффективность для безопасности продукта
- Необходимо создавать обезличенные тестовые контуры с репликацией прода с автоматической раскаткой обновлений
- Password Vault (на сессии это называли секретницей) как must have
#talks #dev #ops