S02E09: Ten o DevSecOps z Andrzejem Dyjakiem

W dzisiejszym odcinku Wojtek spotkał się z Andrzejem Dyjakiem, która zajmuje się tematem bezpieczeństwa – ze szczególnym naciskiem na bezpieczny kod oraz DevSecOps.

Chłopaki rozmawiali nie tylko o tym jak tworzyć bezpieczne aplikacje, ale także jak zwiększać świadomość w zespołach dotyczącą tego tematu, jak oddolnie wspierać kulturę DevSecOps oraz co jest trudniej zabezpieczyć: aplikację mobilną czy aplikację front-endową?

Zapraszamy do słuchania! 🎧

Materiały:

• Gdzie znajdziecie Andrzeja w internecie:
  • Blog: https://dyjak.me
  • Mailing: https://bezpiecznykod.pl/DevSecOps
  • Grupa FB: https://www.facebook.com/groups/1210171992652508
  • Akademia Bezpiecznego Kodu: https://bezpiecznykod.pl/Akademia
  • Podcast: https://cyberiada.io
• What is DevSecOps? (Redhat).
• Microsoft Security Development Lifecycle (SDL).
• STRIDE.
• SAST i DAST oraz różnice pomiędzy nimi.
  • SAST = Static Application Security Testing.
  • DAST = Dynamic Application Security Testing.
• Modelowanie Zagrożeń (Threat Modeling).
• OWASP SAMM (Software Assurance Maturity Model).
• Building Security In Maturity Model (BSIMM).
• Top 3 narzędzi według Andrzeja dla testerów:
  • OWASP Web Security Testing Guide oraz powiązane narzędzie OWASP Application Security Verification Standard.
  • Burp i otwarty odpowiednik: OWASP Zap.
  • Kali Linux.
• Top 3 narzędzi według Andrzeja dla programistów:
  • OWASP Top 10.
  • OWASP Application Security Verification Standard.
  • Agile Threat Modeling.
• HackerOne Top 10.
• Top 3 błędów według Andrzeja, które popełniamy w aplikacjach obecnie:
  • Błędne zarządzanie sekretami
  • Błędne zarządzanie zależnościami
  • SSRF