Цифровизация и информационная безопасность в производственных компаниях

Привет, друзья!

До конференции Byte & Oil Conf 2023 осталось всего несколько дней. На площадке, где будет проходить конференция уже идёт застройка. Встречаемся 28 и 29 сентября в Старт Хабе на Красном Октябре в Москве. Посмотреть расписание можно здесь.

Забронировать билет на Byte & Oil Conf 2023

Ontico

Что почитать о безопасности в блоге Онтико на Хабре

Бесшовное внедрение практик безопасности в DevOps-конвейер

Индустрия разработки растёт и уже составляет сотни миллиардов долларов, а проблемы безопасности решаются медленно. Поэтому и попали в топ-10 экспертного рейтинга глобальных рисков Международного экономического форума в Давосе. DevSecOps сейчас особенно актуально. Директор по развитию бизнеса компании Swordfish Security Андрей Иванов разберёт, какая часть DevSecOps главная. DevOps (разработка и эксплуатация, встроенные в бизнес-процессы организации) или Sec (все, что связано с безопасностью)? И расскажет, как понять, что в вашей организации пришло время для DevSecOps и как к нему подготовиться. Конечно, будут основные принципы и концептуальная схема DevSecOps.

Как багхантеру искать XSS-уязвимости через наложение парсеров: исследование Positive Technologies

Игорь Сак-Саковский более семи лет занимается безопасностью веб-приложений в команде PT SWARM в компании Positive Technologies. В статье он рассказал о своём исследовании веб-хакинга.

При общении в сети мы постоянно используем смайлики и выделяем текст в сообщениях. В Телеграме, Википедии, на GitHub и форумах это реализовано при помощи BBCode, MediaWiki и других языков разметки, использующих парсеры. Парсеры находят в сообщениях специальный код, тег или символ и преобразуют его в красивый текст с помощью HTML. А, как известно, везде, где есть HTML, могут быть и XSS-атаки. Игорь поделился методикой поиска проблем очистки передаваемых пользователями данных, которые могут привести к XSS-уязвимостям, показал, как фаззить и находить проблемы при генерации HTML в сообщениях, а также проблемы парсеров, возникающие при их накладывании. Этот метод позволяет обнаруживать в популярных продуктах множество уязвимостей, которых раньше никто не замечал.

Безопасность + Разработка = ♡ Как выпускать релизы в срок и дружить с безопасностью

В идеальном мире команды безопасности — это компетентные специалисты, которые занимаются анализом рисков, моделированием угроз, защитой от целевых атак, расследованием инцидентов и другой важной работой. В том же идеальном мире разработчики ПО — это люди и команды, которые создают продукты и выполняют проекты в срок и с наилучшим качеством. В их продуктах не бывает уязвимостей, и иногда им всего лишь нужно пройти «эту дурацкую приемку» по безопасности у крупных заказчиков.

Однако в реальности эти команды и их взаимодействие могут быть далеко не такими идеальными. Безопасность часто не хочет вникать в специфику разработки, а разработчикам нет дела до требований безопасности. Сергей Волдохин, директор компании «Антифишинг», побывал по обе стороны. Читайте в его статье, как научить разработчиков говорить на одном языке с безопасностью. И как при этом добиться, чтобы продукты выходили в релиз вовремя и оставались максимально защищенными.

На конференции продолжим разговор о цифровизации и информационной безопасности. Обсудим разработку ПО для нефтегазовой отрасли в условиях технологической независимости. Разберёмся, как проверить, всё ли в порядке в вашей компании по части кибербезопасности, чем заменить инструменты от зарубежных разработчиков и как защищать микросервисы. Посмотрим, как дизайн-команда может увеличить удовлетворённость пользователей цифрового продукта. Узнаем, почему производственный процесс в разработке IT-продуктов — это актив компании.