Мобильный SSDLC

С каждым годом мобильные приложения становятся больше и сложнее. А вместе с ними растет размер репутационных и финансовых потерь в случае проблем с безопасностью в этих приложениях. В рамках этого выпуска мы обсудим феномен SSDLC как таковой, поговорим про то кому это нужно и как делать его правильно. Обсудим реальные примеры применения этой парадигмы и какие бонусы это дает команде разработки и продукту. 00:00 Что происходит? 01:35 Гость рассказывает о себе 03:56 Что такое SSDLC, как работает и кому нужен 23:24 Кем делать SSDLC и такие security champions 31:43 Специфика построения SSDLC для мобильных приложений 54:09 Какие утилиты и сервисы может использовать mobdev команда 1:08:12 Как обучать разработчиков безопасной разработке 1:19:45 Философские рассуждения о том, зачем нужный английский язык 1:24:15 Самые популярные (по мнению гостя) уязвимости 1:28:53 Прощаемся, подводим итоги Материалы к выпуску: BSIMM - фреймворк для оценки уровня зрелости и построения roadmap Application Security - https://www.bsimm.com/ OpenSAMM - аналогичный материал от OWASP для построения процесса SSDL в компании - https://www.opensamm.org/ @mobile_appsec_world - телеграмм канал гостя с новостями по безопасности мобилок Stingray - продукт для динамического анализа, который мы пилим - https://stingray.appsec.global/ NowSecure - Американский продукт для динамического анализа мобильных приложений - https://www.nowsecure.com/ AppKnox - еще один продукт для динамического анализа мобилок - https://www.appknox.com/contact MASVS - стандарт от OWASP (ссылка для русского языка) - https://github.com/OWASP/owasp-masvs/tree/master/Document-ru Набор материалов по SSDLC от Digital Security - https://dsec.ru/blog/secure-sdlc-poleznye-resursy/

Видео Мобильный SSDLC автора JavaScript События