Порядок сертификации процессов безопасной разработки СрЗИ
Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Для общественного обсуждения представлен проект приказа ФСТЭК России «Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
OWASP API Security Top 10, 2023: примеры
По ссылке можно ознакомиться с наглядными примерами по Top-10 OWASP API Security, 2023.
Материал включает разбор:
🍭 API1:2023 - Broken Object Level Authorization
🍭 API2:2023 - Broken Authentication
🍭 API3:2023 - Broken Object Property Level Authorization
🍭 API4:2023 - Unrestricted Resource Consumption
🍭 API5:2023 - Broken Function Level Authorization
🍭 API6:2023 - Unrestricted Access to Sensitive Business Flows
🍭 API7:2023 - Server Side Request Forgery
🍭 API8:2023 - Security Misconfiguration
🍭 API9:2023 - Improper Inventory Management
🍭 API10:2023 - Unsafe Consumption of APIs
Для каждой уязвимости приводится как compliant, так и uncompliant пример реализации на
По ссылке можно ознакомиться с наглядными примерами по Top-10 OWASP API Security, 2023.
Материал включает разбор:
🍭 API1:2023 - Broken Object Level Authorization
🍭 API2:2023 - Broken Authentication
🍭 API3:2023 - Broken Object Property Level Authorization
🍭 API4:2023 - Unrestricted Resource Consumption
🍭 API5:2023 - Broken Function Level Authorization
🍭 API6:2023 - Unrestricted Access to Sensitive Business Flows
🍭 API7:2023 - Server Side Request Forgery
🍭 API8:2023 - Security Misconfiguration
🍭 API9:2023 - Improper Inventory Management
🍭 API10:2023 - Unsafe Consumption of APIs
Для каждой уязвимости приводится как compliant, так и uncompliant пример реализации на
.NET и Java, что позволяет лучше разобраться в том, что происходит.Devsecopsguides
OWASP API Security Top 10 2023
API1:2023 - Broken Object Level Authorization 1
OWASP Code Review Guide.pdf
2.3 MB
OWASP Code Review Guide
контрольные чеклисты ревью, примеры моделирования угроз, и dos&don'ts для процесса код-ревью.
#guides #owasp #codereview
контрольные чеклисты ревью, примеры моделирования угроз, и dos&don'ts для процесса код-ревью.
#guides #owasp #codereview
Forwarded from AppSec Journey
Это просто я не знаю что такое🤤😛
Я очень большой приверженец майндкарт и кажется, я могу залипать в это часами...
Целая копилка инструментов для рекона и для тестирования. А тестирование вообще разделено на разные проверки типов аутентификации, регекспы, мисконфигурации, инъекции и т.д.
Это просто мякотка всех #apisecurity weeks💔
P.S. Ссылки внутри кликабельны.
Я очень большой приверженец майндкарт и кажется, я могу залипать в это часами...
Целая копилка инструментов для рекона и для тестирования. А тестирование вообще разделено на разные проверки типов аутентификации, регекспы, мисконфигурации, инъекции и т.д.
Это просто мякотка всех #apisecurity weeks
P.S. Ссылки внутри кликабельны.
Please open Telegram to view this post
VIEW IN TELEGRAM
Проект ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
На DevOpsConf24 поговорим про то сколько «стоит» платформа, расскажем про самые актуальные кейсы, а также проведем круглый стол сообщества FinDevSecOps, где обсудим важные вопросы организации безопасной разработки в финтехе.
https://devopsconf.io/moscow/2024/abstracts/11041
https://devopsconf.io/moscow/2024/abstracts/11596
Please open Telegram to view this post
VIEW IN TELEGRAM
devopsconf.io
Карапет Манасян на DevOpsConf 2024
Представим, что вы лидер инженерной команды или амбициозный инженер, который понял ценность platform engineering'а для своей компании. У вас возникла идея начать работу над внутренней платформой разработки, но вы осознаете необходимость инвестиций в эту активность…
Forwarded from DevOpsConf Channel
Круглый стол с обсуждением вопросов безопасной разработки и коллаборации между различными крупными игроками финансовой отрасли. Программный комитет убедился, что у всех участников разные мнения по всем вопросам, поэтому должно быть интересно.
⠀
Безопасная разработка все больше и больше становится важной составляющей технологического ландшафта компаний.
⠀
Сообщество FinDevSecOps создано в 2023 году на площадке Ассоциации ФинТех при поддержке Московской биржи для объединения усилий участников финансового рынка и смежных отраслей в развитии безопасной разработки программного обеспечения и opensource-решений. В сообщество вошли эксперты – представители участников Ассоциации.
⠀
На круглом столе с лидерами FinDevSecOps вы обсудите:
⠀
1. ТТМ против appsec: увеличивает ли внедрение процессов и инструментов DevSecOps время разработки? Как найти баланс между бизнесом и безопасной разработкой?
⠀
2. ИБ против ИТ или вместе с ИТ? Какая должна быть стратегия безопасности в финансовых компаниях?
⠀
3. Что делать со срочными хотфиксами: сначала в прод, а потом проверки? Все ли проверки надо делать?
⠀
4. Отличие процессов разработки в финансовых компаниях от нефинансовых? Перспективы развития регуляторных требований.
⠀
5. Нужны ли дополнительные роли в командах (appsec, secchamp, secanalyst...)? Во что трансформируется роль классического специалиста ИБ?
⠀
6. Снижает ли инцидент ИБ ее рыночную стоимость в долгосрочной перспективе? Зависит ли это от типа бизнеса?
⠀
7. Инструментарий: перспективы развития? Использовать опенсорс или закрытые инструменты? Каковы регуляторные требования?
⠀
8. Нужно ли проводить анализ защищенности ML-моделей в продукте? MLsecOps?
⠀
9. Что делать если нужен внешний мониторинг? Как контролировать инциденты: инфра, конвейер.
⠀
Трансляции и записи не будет, приходите 🙌
⠀
✅ Полная программа конференции и билеты на сайте в описании канала @DevOpsConfChannel
⠀
Безопасная разработка все больше и больше становится важной составляющей технологического ландшафта компаний.
⠀
Сообщество FinDevSecOps создано в 2023 году на площадке Ассоциации ФинТех при поддержке Московской биржи для объединения усилий участников финансового рынка и смежных отраслей в развитии безопасной разработки программного обеспечения и opensource-решений. В сообщество вошли эксперты – представители участников Ассоциации.
⠀
На круглом столе с лидерами FinDevSecOps вы обсудите:
⠀
1. ТТМ против appsec: увеличивает ли внедрение процессов и инструментов DevSecOps время разработки? Как найти баланс между бизнесом и безопасной разработкой?
⠀
2. ИБ против ИТ или вместе с ИТ? Какая должна быть стратегия безопасности в финансовых компаниях?
⠀
3. Что делать со срочными хотфиксами: сначала в прод, а потом проверки? Все ли проверки надо делать?
⠀
4. Отличие процессов разработки в финансовых компаниях от нефинансовых? Перспективы развития регуляторных требований.
⠀
5. Нужны ли дополнительные роли в командах (appsec, secchamp, secanalyst...)? Во что трансформируется роль классического специалиста ИБ?
⠀
6. Снижает ли инцидент ИБ ее рыночную стоимость в долгосрочной перспективе? Зависит ли это от типа бизнеса?
⠀
7. Инструментарий: перспективы развития? Использовать опенсорс или закрытые инструменты? Каковы регуляторные требования?
⠀
8. Нужно ли проводить анализ защищенности ML-моделей в продукте? MLsecOps?
⠀
9. Что делать если нужен внешний мониторинг? Как контролировать инциденты: инфра, конвейер.
⠀
Трансляции и записи не будет, приходите 🙌
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Makrushin (Denis)
Распространение вредоносного кода через комментарии GitHub
Исследователи обнаружили троян, который распространяется под видом игровых читов и крадет инфу с зараженной станции. Сам зловред вряд ли чем-то примечателен, но интересен способ его распространения. Источник, в котором опубликован загрузчик трояна - официальные GitHub-репозитории Microsoft.
Пример URL с вредоносным кодом:
GitHub позволяет злоумышленникам обходить правила блокировки на основе черных и белых списков.
Как троян там оказался:
1. злодей создает комментарий к любому коммиту или issue в репозитории Microsoft.
2. В комментарий загружается вложение с произвольным файлом.
3. Файл будет загружен в GitHub CDN и привязан к проекту с уникальной ссылкой. Формат ссылки:
4. Комментарий может быть не опубликован, но при этом ссылка становится активной.
Атакующий может прикрепить вредоносный файл к любому репозиторию. Пока что, единственный вариант уберечь свой проект от подобного использования - отключить комментарии.
Исследователи обнаружили троян, который распространяется под видом игровых читов и крадет инфу с зараженной станции. Сам зловред вряд ли чем-то примечателен, но интересен способ его распространения. Источник, в котором опубликован загрузчик трояна - официальные GitHub-репозитории Microsoft.
Пример URL с вредоносным кодом:
https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip
GitHub позволяет злоумышленникам обходить правила блокировки на основе черных и белых списков.
Как троян там оказался:
1. злодей создает комментарий к любому коммиту или issue в репозитории Microsoft.
2. В комментарий загружается вложение с произвольным файлом.
3. Файл будет загружен в GitHub CDN и привязан к проекту с уникальной ссылкой. Формат ссылки:
https://www.github.com/{project_user}/{repo_name}/files/{file_id}/{file_name}4. Комментарий может быть не опубликован, но при этом ссылка становится активной.
Атакующий может прикрепить вредоносный файл к любому репозиторию. Пока что, единственный вариант уберечь свой проект от подобного использования - отключить комментарии.
Forwarded from Ассоциация ФинТех
Эксперты Ассоциации ФинТех, Swordfish Security и Сообщества FinDevSecOps обсудили безопасность использования open source.
На вебинаре «Открытый код, скрытые проблемы» участники рассмотрели вопросы:
• Актуальность проблемы проверки open source - компонентов по результатам Исследования по технологической независимости на российском финтех-рынке
• Как помогают артефакты Сообщества FinDevSecOps в организации проверок
• Векторы атак на приложения в финансовом секторе
• Отличия между инструментами для анализа безопасности компонентов
• Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
• Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикерами выступили Вера Багно, AppSec-инженер Swordfish Security и Татьяна Билык, лидер Сообщества FinDevSecOps, директор технологических проектов АФТ.
Запись вебинара доступна по ссылке.
Доклады спикеров можно скачать.
На вебинаре «Открытый код, скрытые проблемы» участники рассмотрели вопросы:
• Актуальность проблемы проверки open source - компонентов по результатам Исследования по технологической независимости на российском финтех-рынке
• Как помогают артефакты Сообщества FinDevSecOps в организации проверок
• Векторы атак на приложения в финансовом секторе
• Отличия между инструментами для анализа безопасности компонентов
• Как избежать распространенных ошибок при внедрении практик управления открытым исходным кодом (OSA) и анализа компонентов (SCA)?
• Какие существуют алгоритмы внедрении практик и что необходимо принимать во внимание?
Спикерами выступили Вера Багно, AppSec-инженер Swordfish Security и Татьяна Билык, лидер Сообщества FinDevSecOps, директор технологических проектов АФТ.
Запись вебинара доступна по ссылке.
Доклады спикеров можно скачать.
Forwarded from Ассоциация ФинТех
Друзья, приглашаем вас на бесплатный вебинар, организованный #Swordfish Security, Ассоциацией ФинТех и сообществом FinDevSecOps «Подготовка к сертификации РБПО», который состоится 15 апреля в 14.00
В 2024 году ФСТЭК России запустила новый подход к сертификации продуктов – теперь для ПО средств защиты допускается вместо отдельных сертификации новых версий ПО сертифицировать конвейер разработки этого ПО, что позволяет ускорить процесс выпуска релизов в эксплуатацию.
Эксперты FinDevSecOps расскажут, как организовать процесс безопасной разработки программных продуктов в соответствии с требованиями ГОСТ 56939–2024.
На вебинаре участники обсудят:
— Обязательно ли прохождение сертификации РБПО?
— Зачем проводить сертификацию процессов безопасной разработки ПО?
— ГОСТ 56939-2024: как проводится подготовка к сертификации?
— Опыт СберТеха: как компания эволюционно пришла к такому решению, как готовились, с какими вызовами столкнулись в процессе прохождения сертификации.
Спикеры:
— Альбина Аскерова, руководитель направления по взаимодействию с регуляторами, Swordfish Security
— Алексей Щербаков, начальник центра кибербезопасности платформы, СберТех
Для кого будет полезен вебинар:
— CISO
— CIO
— Сomplience-специалистам
— DevSecOps-специалистам
Для того, чтобы зарегистрироваться на вебинар, пройдите по ссылке.
В 2024 году ФСТЭК России запустила новый подход к сертификации продуктов – теперь для ПО средств защиты допускается вместо отдельных сертификации новых версий ПО сертифицировать конвейер разработки этого ПО, что позволяет ускорить процесс выпуска релизов в эксплуатацию.
Эксперты FinDevSecOps расскажут, как организовать процесс безопасной разработки программных продуктов в соответствии с требованиями ГОСТ 56939–2024.
На вебинаре участники обсудят:
— Обязательно ли прохождение сертификации РБПО?
— Зачем проводить сертификацию процессов безопасной разработки ПО?
— ГОСТ 56939-2024: как проводится подготовка к сертификации?
— Опыт СберТеха: как компания эволюционно пришла к такому решению, как готовились, с какими вызовами столкнулись в процессе прохождения сертификации.
Спикеры:
— Альбина Аскерова, руководитель направления по взаимодействию с регуляторами, Swordfish Security
— Алексей Щербаков, начальник центра кибербезопасности платформы, СберТех
Для кого будет полезен вебинар:
— CISO
— CIO
— Сomplience-специалистам
— DevSecOps-специалистам
Для того, чтобы зарегистрироваться на вебинар, пройдите по ссылке.
Forwarded from Ассоциация ФинТех
Сертификация DevSecOps по ГОСТ: участники Ассоциации ФинТех делятся своим опытом.
Наши уважаемые друзья из сообщества FinDevSecOps поделились своими знаниями о том, как подготовиться к сертификации процесса безопасной разработки в соответствии с требованиями ГОСТ 56939-2024 и каким компаниям обязательно ее проходить.
Об этом рассказала Альбина Аскерова, руководитель направления по взаимодействию с регуляторами #Swordfish Security.
Начальник центра кибербезопасности платформы СберТех Алексей Щербаков поделился тем, как в компании готовились к прохождению сертификации и с какими вызовами столкнулись в процессе.
Запись вебинара опубликована на платформе Rutube.
Презентации спикеров можно скачать здесь.
Наши уважаемые друзья из сообщества FinDevSecOps поделились своими знаниями о том, как подготовиться к сертификации процесса безопасной разработки в соответствии с требованиями ГОСТ 56939-2024 и каким компаниям обязательно ее проходить.
Об этом рассказала Альбина Аскерова, руководитель направления по взаимодействию с регуляторами #Swordfish Security.
Начальник центра кибербезопасности платформы СберТех Алексей Щербаков поделился тем, как в компании готовились к прохождению сертификации и с какими вызовами столкнулись в процессе.
Запись вебинара опубликована на платформе Rutube.
Презентации спикеров можно скачать здесь.
👍1
Forwarded from Ассоциация ФинТех
Эксперты Сообщества FinDevSecOps АФТ обсудили вопросы проверки open source решений.
🎯 На площадке Ассоциации ФинТех состоялась встреча рабочей группы «Содействие развитию ИТ-решений для финансового рынка на основе открытого исходного кода» и сообщества FinDevSecOps. Были рассмотрены технические и организационные вопросы совместных исследований.
Алексей Хорошилов, руководитель Центра исследований безопасности системного ПО, действующего на базе ИСП РАН, поделился опытом выстраивания процессов совместной проверки компонентов open source.
Руководитель отдела безопасной разработки программного обеспечения «Базальт СПО» Николай Костригин поделился опытом участия в работе на площадке центра и достигнутых эффектах.
На встрече была предложена концепция проекта проверки компонентов с открытым исходным кодом, которая позволит отказаться от дублирующих на стороне финансовых организаций проверок и достичь значительной экономии ресурсов для всей отрасли.
🎯 На площадке Ассоциации ФинТех состоялась встреча рабочей группы «Содействие развитию ИТ-решений для финансового рынка на основе открытого исходного кода» и сообщества FinDevSecOps. Были рассмотрены технические и организационные вопросы совместных исследований.
Алексей Хорошилов, руководитель Центра исследований безопасности системного ПО, действующего на базе ИСП РАН, поделился опытом выстраивания процессов совместной проверки компонентов open source.
Руководитель отдела безопасной разработки программного обеспечения «Базальт СПО» Николай Костригин поделился опытом участия в работе на площадке центра и достигнутых эффектах.
На встрече была предложена концепция проекта проверки компонентов с открытым исходным кодом, которая позволит отказаться от дублирующих на стороне финансовых организаций проверок и достичь значительной экономии ресурсов для всей отрасли.
🔥1
Forwarded from Ассоциация ФинТех
DUMP_Ekb_2025_Dudnik.pdf
2.7 MB
Сообщество FinDevSecOps представило карту инструментов безопасной разработки.
🛠 На конференции DUMP 2025, состоявшейся в Екатеринбурге, один из лидеров сообщества FinDevSecOps Степан Дудник (технический директор компании HDTech) рассказал о подходах к безопасной разработке программного обеспечения.
Он представил карту инструментов безопасной разработки, рассказал об этапах, описал принципы референсного процесса, а также поделился опытом участников Ассоциации ФинТех при внедрении процессов DevSecOps.
Степан Дудник подчеркнул, что главная цель сообщества FinDevSecOps — это достижение синергетического эффекта от объединения усилий сторон, заинтересованных в развитии безопасной разработки программного обеспечения и open source решений для финансовой сферы и смежных секторов.
🛠 На конференции DUMP 2025, состоявшейся в Екатеринбурге, один из лидеров сообщества FinDevSecOps Степан Дудник (технический директор компании HDTech) рассказал о подходах к безопасной разработке программного обеспечения.
Он представил карту инструментов безопасной разработки, рассказал об этапах, описал принципы референсного процесса, а также поделился опытом участников Ассоциации ФинТех при внедрении процессов DevSecOps.
Степан Дудник подчеркнул, что главная цель сообщества FinDevSecOps — это достижение синергетического эффекта от объединения усилий сторон, заинтересованных в развитии безопасной разработки программного обеспечения и open source решений для финансовой сферы и смежных секторов.
Forwarded from Ассоциация ФинТех
API — это ключевой элемент интеграции сервисов и приложений, поэтому защита этих интерфейсов является одной из приоритетных задач обеспечения кибербезопасности.
16 июня в 14:00 на вебинаре «API Security. Защита и стандарты безопасности» эксперты Ассоциации ФинТех и Swordfish Security расскажут о современных принципах API Security, эффективных инструментах и методах защиты API, нормативных актах и стандартах безопасности.
Спикеры:
— Александр Товстолип, руководитель Управления информационной безопасности АФТ
— Мария Ковтун, руководитель направления динамического анализа безопасности приложений Swordfish Security
Вебинар будет интересен для CISO, CIO, AppSec-инженерам, DevSecOps-специалистам, ИТ-архитекторам, разработчикам и тестировщикам ПО.
Участие бесплатное, зарегистрироваться можно по ссылке.
16 июня в 14:00 на вебинаре «API Security. Защита и стандарты безопасности» эксперты Ассоциации ФинТех и Swordfish Security расскажут о современных принципах API Security, эффективных инструментах и методах защиты API, нормативных актах и стандартах безопасности.
Спикеры:
— Александр Товстолип, руководитель Управления информационной безопасности АФТ
— Мария Ковтун, руководитель направления динамического анализа безопасности приложений Swordfish Security
Вебинар будет интересен для CISO, CIO, AppSec-инженерам, DevSecOps-специалистам, ИТ-архитекторам, разработчикам и тестировщикам ПО.
Участие бесплатное, зарегистрироваться можно по ссылке.
Forwarded from Ассоциация ФинТех
Ассоциация ФинТех и сообщество FinDevSecOps в рамках Форума ITSEC 2025 провели публичную дискуссию «Безопасная разработка в финтехе: вызовы-2025».
В рамках мероприятия обсуждались: текущее состояние и перспективы безопасной разработки, вопросы регулирования, разбирались реализованные кейсы.
Лидер сообщества FinDevSecOps Степан Дудник, технический директор HDTech, анонсировал проект отечественной методологии безопасной
разработки, создаваемой на площадке АФТ.
В обсуждении приняли участие представители Банка России, ИСП РАН, Московской биржи, Сбертеха, Yandex Cloud и Swordfish Security. Модерировала дискуссию Татьяна Билык, директор технологических проектов АФТ.
В рамках мероприятия обсуждались: текущее состояние и перспективы безопасной разработки, вопросы регулирования, разбирались реализованные кейсы.
Лидер сообщества FinDevSecOps Степан Дудник, технический директор HDTech, анонсировал проект отечественной методологии безопасной
разработки, создаваемой на площадке АФТ.
В обсуждении приняли участие представители Банка России, ИСП РАН, Московской биржи, Сбертеха, Yandex Cloud и Swordfish Security. Модерировала дискуссию Татьяна Билык, директор технологических проектов АФТ.
Forwarded from Ассоциация ФинТех
🎬 Друзья, предлагаем вам подкаст «Как эволюционируют процессы разработки?»
В этом выпуске:
• Почему появился тренд на развитие платформ разработки?
• Как платформы меняют работу команд и компаний, как оценить эффективность их внедрения?
• Кто такие платформенные инженеры?
• Как достигается синергия разработчиков и ИИ?
Участники:
Карапет Манасян, глава платформы разработки компаний Группы Московская Биржа
Виталий Астраханцев, лидер кластера разработки инженерных продуктов СберТех
Ведущая:
Марианна Данилина, руководитель управления стратегии, исследований и аналитики Ассоциации ФинТех
Посмотреть подкаст можно в ВК Видео и Rutube! 🍿
В этом выпуске:
• Почему появился тренд на развитие платформ разработки?
• Как платформы меняют работу команд и компаний, как оценить эффективность их внедрения?
• Кто такие платформенные инженеры?
• Как достигается синергия разработчиков и ИИ?
Участники:
Карапет Манасян, глава платформы разработки компаний Группы Московская Биржа
Виталий Астраханцев, лидер кластера разработки инженерных продуктов СберТех
Ведущая:
Марианна Данилина, руководитель управления стратегии, исследований и аналитики Ассоциации ФинТех
Посмотреть подкаст можно в ВК Видео и Rutube! 🍿
VK Видео
Как эволюционируют процессы разработки? | Подкаст «ФинТех не любит тишину»
8-й выпуск подкаста «Финтех не любит тишину». 00:00 - начало 01:42 - что такое «платформенность» и зачем её развивать 07:25 - чем занимается платформенный инженер 11:25 - использование ИИ в разработке 17:56 - про вендорские услуги 20:28 - сколько должно быть…
❤1🔥1🍓1