[SafeCode Live] Secure by design

— В этом выпуске разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта. Участники обсуждают: — что такое Secure by design и нужен ли он в каждом продукте; — чем SBD отличается от безопасной разработки; — что делать, если «уже сделано небезопасно»; — может ли SBD-продукт стать небезопасным; — как стать компетентным в SBD; — существуют ли общие концепции и стандарты. Гости: — Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского. — Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков. — Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф. Ведущий: Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries. -- Полезные материалы Общая теория по ИБ — Бесплатный pdf «Software Security» от Mathias Payer Быстрое введение в основные концепции безопасности. В книге нет лишь глав о криптографии и формальных моделях контроля доступа/информационных потоков. — Постоянно обновляемая подборка How to secure anything Открытый MD на GitHub. Описывает всё: от безопасности информационных систем до проектирования тюрем. — Всеобъемлющая книга Мэта Бишопа Computer Security Art and Science. Безопасность ОС Хорошая книга про безопасность в операционных системах от Trent Jaeger «Operating System Security». SBD — Пример широты трактовки термина Secure by design в книге «Безопасно by design», Берг Джонсон Д., Деоган Д., Савано Д. Интересный подход к Secure by design через DDD. — Книга «Threat Modeling: Designing for Security» от Adam Shostack. Введение в моделирование угроз от автора из Microsoft. Перекликается с Microsoft SDL. Показывает, что степень проникновения практики в процессы может варьироваться от практически игровой до формальной и строгой. — «Secure Design Patterns» в формате pdf от SEI CERT Введение в architecture- и design-level безопасные паттерны. — Формальное проектирование. «Безопасный» дизайн на практике может содержать ошибки, а model checking и model finding могут помочь. Книги на эту тему: «Specifying Systems» от Leslie Lamport, «Software Abstractions» от Daniel Jackson. — Книга от ребят из Google в продолжение и расширение темы про SRE «Building secure and reliable systems» от Heather Adkins, Betsy Beyer, Paul Blankinship, Ana Oprea, Piotr Lewandowski, Adam Stubblefield. — Базовая книга про DevSecOps Agile Application Security от Laura Bell, Michael Brunton-Spall, Rich Smith, Jim Bird. #appsec #sbd