В этом эпизоде я догоняю Tanya Janca, чтобы обсудить Devesecops, Appsec и облачную безопасность.
Вы можете слушать полный эпизод здесь: https://cloudskills.fm/054.
Tanya Janca — это консультант по безопасности приложений, помогая людям писать более безопасное программное обеспечение и защищать «облако». Ее одержимость закреплением программного обеспечения глубоко работает, от начала своего консалтинга, чтобы запустить свою главу Owasp в течение 4 лет и основание проекта OwaSP Devslop и проекта Open-Source и образования.
Благодаря своим бесчисленным статьям блога, семинары и переговоры, ее фокус ясен. Таня также является сторонником разнообразия и включения, соовощную международную женскую организацию WOSEC, начиная онлайн #mentoringMonday инициатива, а также лично наставничества, пропагандируя и позволяя бесчисленным другим женщинам в ее поле. Как профессиональный компьютерный гик более 20 лет, она человек, который действительно очарован «наукой» информатики.
Ресурсы из этого эпизода:
- Таня в Твиттере: @Shackspurple.
- Таня на dev.to: dev.to/shehackspurple
- Таня на среднем: medium.com/@shehackspurple
- Таня на Youtube: YouTube.com/shehackspurple.
- Таня Новостная рассылка
Полная стенограмма:
Майк Пфайффер: Эй, что случилось всех? Это Mike Pfeiffer, добро пожаловать обратно в другой эпизод. Я присоединился сегодня Tanya Janca. Таня, спасибо за наступление в Livestream и подкаст сегодня. Я действительно взволнован, чтобы ты здесь.
Таня Янка: Спасибо за то, что я. это здорово.
Майк Пфефер: Да, это потрясающе. Я просто хочу убедиться, что я вроде назадался с контролем, когда я начал работу, я хочу убедиться, что все, что на Livestream могут услышать нас, так что если вы, ребята, обращаете внимание и слушаете, давайте Знайте, звучит ли звук в порядке в комментариях. Я вижу Вивек и Мухаммед и Майкл, Сью Нил. Спасибо за то, что вы здесь. Франциско, что случилось, мужчина? Рад тебя видеть. Матиас или Матиас, Джойс, приятно видеть тебя снова. Большое спасибо всем за присоединение к нам. Итак, Таня, для кого-то, кто вас не знает, может быть, мы могли бы быстро вернуть свой Backstory Real.
Таня Янка: Да, абсолютно. Привет всем, я Таня Янка. В интернете я известен как Shehackspurple, и я гигантский Appsec Nerd. В основном я был разработчиком программного обеспечения. Я действительно одержим безопасностью, я стал пером тестером, потому что это то, что все, кажется, хотят сделать. Но потом, как я получил больше в Peen Testing, я влюбился в идею решения большей проблемы, которая является безопасностью применения и обеспечение безопасного программного обеспечения. И с этим, конечно, приходит devsecops, который является AppSec, когда вы находитесь в среде DevOps. Я гордый Owasp Wosec, который является женщинами безопасности, и я очень недавно начал свою собственную компанию, называемую безопасности Безопасности. Я делаю много публичных выступлений и в основном будучи болящей в Интернете, да.
Mike Pfeiffer: О, у нас определенно у нас, наверняка, так что это круто. Спасибо всем. Рад тебя видеть. Похоже, все могут услышать нас Хорошо, так поздравляю, прежде всего, при запуске своей новой компании. Я могу определенно относиться, я сделал пару тех поста, и я знаю, как это сложно. Это было довольно веселая езда для тебя до сих пор?
Таня Янка: До сих пор это смешно увлекательно. Я абсолютно поразил, сколько людей потянулись мне, чтобы попытаться помочь мне. Я не понимал, что многие люди просто будут настолько счастливыми о нас, начинающих компанию и желая обеспечить, чтобы мы могли бы добиться успеха и помогать нам воду, что делает правильные введения и советы и все эти вещи. Это подавляющее, удивительная, удивительная поддержка. Даже наши прямые конкуренты протягиваются и пытаются помочь нам, они похожи: «Эй, посмотрите на это», — я как, «О, спасибо, ребята. «Люди говорят вам, что бизнес — это резьба, но казалось бы, напротив, пока. Или, может быть, люди похожи: «О, они безвредны. «Я не знаю, но все просто велики.
Майк Пфефер: Ну, это круто, что люди очень поддерживают об этом. И я думаю, что это интересно, потому что мы живем через время, где проще, чем когда-либо, чтобы начать свой собственный бизнес. Там так много инструментов и услуг онлайн И это круто, чтобы увидеть, что люди в сообществе болеют для вас. Это действительно круто. Так что же вроде … Я думаю, работает на платформе, это больше консультационного типа сервиса или что это?
Таня Янка: Мы сделали продукт. По сути, Aaron Hnatiw, мой соучредитель и в основном, парень изобретателя, он продолжает создавать прохладные новые вещи, и он открыт, поставил кучу вещей раньше. Он занимался НИОКР, он хотел сделать новый продукт, и он продолжал итерацию через все эти вещи, и мы друзья. Так что все его идеи, мы попрыгнули им вокруг и прочее. А потом в конце концов он придумал этот прозрачный прокси, и он убедил меня прийти дальше. Мне было похоже: «Вы должны присоединиться к Microsoft», где я работал. И он вроде: «Вы должны присоединиться ко мне», и я вроде: «Вы должны присоединиться к Microsoft. » «Вы должны присоединиться ко мне». Но в конце концов он победил. В основном, когда мы оба работали в Appsec, у нас было много проблем, отслеживающих все разные элементы программного обеспечения, которое мы должны защищать.
Таня Янка: Так, как, «О, есть куча API», или «О, Билл от финансов купил подписку на этот продукт SaaS, программное обеспечение как услугу, и не сказал нам», или, «О, есть все Эти устаревшие веб-приложения, которые никто не рассказал нам о том, потому что они похожи: «О, они старые, и мы на самом деле не обновляем их, поэтому они не проблема». «Они в интернете, я уверяю вас, что это проблема. И так, каким образом наш инструмент — это прозрачный прокси, поэтому все проходят через него. Мы можем распознать веб-вещи и инвентаризировать их.
Таня Янка: прямо сейчас, по-видимому, инвентарь действительно горячим. Мой друг Клинт Гибблер, он сделал это глупые мем быстрыми и яростными, за исключением случаев, потому что для так много … Я не знаю почему, но я думаю, что многие люди понимают, что это проблема. И тогда мы выполняем анализ безопасности. Итак, «Хорошо, мы нашли свои приложения, и у этого нет заголовков безопасности, и этот проходит все материалы в параметрах URL, и мы уверены, что это вещи, которые вы не должны проходить туда или [неразборчиво 00:05:05 ] Конфигурация безопасности: «И все эти вещи. И это работает. О, мой бог, это так интересно на самом деле сделать что-то А потом ты … это работает. Это круто, чтобы сделать вещь, и теперь мы просто пытаемся заставить людей дать нам деньги за это, я думаю.
Майк Пфефер: Верно. Да, это сложная часть, состоит в том, чтобы убедить их вытащить кредитную карту, но это потрясающе. Я думаю, что в комментариях на самом деле есть куча людей, которые узнали вас от вашей работы в сообществе, что действительно круто. Я знаю, что вы провели много времени до того, как вы начали эту новую компанию, когда вы были в Microsoft продвигаются по всему месту и говоря о безопасности. Таким образом, может быть, хороший способ начать, будет только то, что является большим низким висительным плодом, где люди не занимаются безопасностью, особенно когда речь идет о Devsecops, и в этом новом мире получают программное обеспечение на производство и эти облачные платформы? Может быть, мы можем начать там. Какие самые большие подводные камни, которые вы видели в дикой природе?
Таня Янка: Хорошо, самые большие низкосовесные фрукты. Все просто нужно сделать действительно хорошую входную проверку, и им нужно исправлять и обновлять вещи. Нет больше гигантского технического долга. Поэтому, если вы используете .NET, вы не должны использовать 2,1 рамки. Вы должны использовать последнюю и максимальную или одну сторону, потому что все эти старые версии, почти все они имеют недостатки безопасности. Это то же самое с вашими миллиардами и миллиардами разных DLL, библиотек, сторонних компонентов, ваша учетная библиотека JavaScript, все эти вещи. Используйте новый, не используйте старые. Так подобно исправлению и модернизации этих вещей, а затем ввод проверки.
Таня Янка: Если все сделали эти две вещи, по крайней мере половину или больше всех уязвимостей просто исчезнут так, что мы все будут установлены. И если вы используете что-то вроде C или C ++, люди собираются на самом деле расстроиться, когда я говорю это, Майкл, просто чтобы быть понятным, переключиться на отдых, потому что это безопасно для памяти, и вы можете удалить, согласно Mozilla, 73% всех Уязвимости. В Интернете, где память безопасна, да, не в Интернете, если вы занимаетесь операционной системой, низкоуровневые вещи, если у вас есть опция, если вы пишете что-то новое, для любви к Богу, используйте отдых Не используйте C или C ++.
Майк Пфефер: Интересно, это действительно интересно. Это круто, чтобы знать.
Таня Янка: Да. Итак, не веб, исключая веб, но почти все низкоуровневые программированные вещи, где вы используете C или C ++, почти все уязвиможенности вращаются вокруг целых переполните, строковые копии и такие вещи, все вещи, где вы можете что-то перегружать. Вы идете в неизвестное состояние, а затем, где происходит хакерская магия. И [неразборчиво 00:07:59] Они как, » Да, я в неизвестном состоянии. Я собираюсь сделать это сделать мою ставку ». Но кроме того, чем делать перо тестеров или красные команды действительно счастливыми, это очень плохо. Так что, если бы мы могли сделать эти две вещи, жизнь была бы великой.
Майк Пфефер: Да. И трудно это сделать. Я знаю, что одна из борьбе, которые у нас закончили последние пару лет, автоматизирующие вещи для компаний, многие клиенты на предприятии все еще используют VMS, поэтому очень легко написать автоматизацию, ну, не просто, но это круто И вы можете пойти быстро и автоматизировать вещество, но если вы все еще используете старый образ виртуальной машины, потому что вы запечатлели изображение со всем своим программным обеспечением, запеченным, а затем он похоже: «Как мы сохраним эту вещь на сегодняшний день?» А потом просто работаю в администрации регулярных систем настолько давно в старые времена, и пытаясь сохранить промежуточную болью такую головную боль. Но теперь, когда люди делают все больше, фактически реализуют методы программного обеспечения к своей инфраструктуре и делают такие вещи, как CI/CD-трубопроводы и материалы, есть много разговоров о том, чтобы получить там безопасность, сдвигая слева и такие вещи. Это разговор, который много приходит, когда вы делаете свои разговоры и работаете с клиентами?
Таня Янка: да. Когда я работал в Microsoft, я пошел на эту вещь, называемую Microsoft зажигать тур, где мы пошли по всему миру, и это было супер захватывающим, и я должен увидеть много классных вещей в Азии. Мой босс в то время, Стивен Муравский, он потрясающий.
Майк Пфефер: Я помню его, да.
Таня Янка: Итак, мы говорили в [неразборчиво 00:09:27], и мы откроем друг на друга. Ты знаешь, что я имею в виду? Поэтому мы не должны были пойти в 17 стран. Верно?
Майк Пфефер: Ага-ага. Это трудно.
Таня Янка: Конечно, это плохо. Итак, мы поделились. Его инфраструктура в качестве кодовых разговоров было так круто И я вроде: «Момент, что это закончено, я хочу изменить его в безопасность, когда Code Talk». Итак, я собираюсь построить инфраструктуру, но вот я переворачиваю эту вещью безопасности и делясь, что автоматически сканирует его. Но тогда я начал свою собственную компанию и отвлечься. Но я действительно верю, если вы делаете инфраструктуру в качестве кода, это так волшебно, потому что вы можете автоматически включить мониторинг, включить оповещение. Вы можете написать пользовательские сценарии, которые предупреждают вас о вещах или даже реагируют на инциденты для вас. Вы можете тренировать облако распознавать определенное поведение и позвонить в серверное приложение, и вы можете написать все, что вы хотите. Черная дыра, плохой IP. О, похоже, что может быть что-то происходит с экфильтрацией данных из моей базы данных.
Таня Янка: Я не даю дерьмо, если это сломается, выключите эту базу данных. Закройте его. Я не даю дерьмо. И тогда вы можете сделать Azure, позвоните вам по телефону. Я знаю, потому что это сказали мне моему боссу. Я делал урок для проекта Owasp Devslop, этот проект с открытым исходным кодом я являюсь частью. Я делал этот урок положил ваши ключи в свой код, но это были поддельные ключи, и я положил его через трубопровод CI/CD А потом лазур был похож: «Нет, это полномочия. «Я как» нет, нет, все в порядке. » И это как «нет». Поэтому я обошел все, а потом он назвал моим боссом.
Майк Пфефер: Это действительно круто.
Таня Янка: Я знаю. И он как: «Что ты делаешь? «Тогда я сказал ему, и он смеялся. И тогда команда ответ на инцидент под названием нас а потом больше не было смешно И мы были в беде.
Майк ПФЭИФФЕР: ООН, это-
Таня Янка: Да, я знаю, я знаю. Команда ответного инцидента была похожа …
Майк Пфефер: Да. Ну, по крайней мере, они там и поймают такие вещи. Но это действительно хорошая точка, потому что, помимо просто падающих вещей, которые могут сканировать, иногда вы строите свои собственные решения мониторинга или чеки. Я работал с командой, и кажется, что это, возможно, направление, где многие команды будут в конечном итоге, где это похоже, вы должны пройти через трубопровод, чтобы сделать все ваши вещи. Таким образом, это подтверждено и проверяется на не только безопасность, но все эти другие тесты. Но я работал с командой один раз, когда они писали тесты на инфраструктуру, чтобы взглянуть на вещи, такие как правила входа, приходящие в окружающую среду, и все такое прочее. И если разработчик инфраструктуры поставил неправильную вещь в наборе правила, это похоже на «Нету, что не удалось». А теперь все на команде знают, а теперь вы должны исправить это.
Майк Пфефер: Так что это действительно интересная модель. Кристиан, в комментариях, спрашивает, и он уже инженер Devops И он спрашивает о рекомендуемом пути или любые советы, которые идут из простого числа регулярных разработчиков, где вы просто работаете над программным обеспечением и вещами для Devsecops? У вас есть несколько советов там?
Таня Янка: Да. Devesecops в основном то же самое, что и Appsec, но когда вы работаете в среде DEVOPS, поэтому, если вы находитесь в водопаде, вы должны приспособиться к тому, как разработчики делают свой водопад. Поэтому, если вы находитесь в среде DevOps, вы должны настроить, или вы те люди, с которыми никто не разговаривает, и код все еще не освобождается, и вы этого не увидите. Вы должны попасть на борт с ними. Так что вы уже на борту, что потрясающе. Вам просто нужно узнать о безопасности приложений.
Таня Янка: Первое, что я бы предложил, если вы собираетесь добавить что-то в свой трубопровод, было бы чему проверить сторонние компоненты. Как красть черная утка. О, люди, которые сделали весь день DevOps, Sonatype. Там целая куча вещей. Есть проверка зависимости OwASP, которая свободна, но какая-то проверка на это, потому что это молниета быстро. Это очень, очень, очень быстро И это большая победа. Это даже проверит ваши лицензии. Вроде, если вы используете Azure DEVOPS, есть что-то болт-болт. WhiteIteSource делает действительно прохладный продукт, который делает это, но болт Whiteityource свободен, который я чувствую, очень щедрый, потому что на самом деле это действительно потрясающе. Вы просто в основном нажмите кнопку, и она скажет вам, как, «Эти лицензии сомнительны», а «Мы нашли это, вы используете эту небезопасно, версию это».
Таня Янка: Самая важная часть есть то, что она быстро и большая победа. Но если вы хотите узнать о DEVSECOPS, я бы предложил, бесстыдно, проект Owasp Devslop. Мои друзья, Нэнси, Франциска и Николь, и я был куча ботаников в Интернете, и у нас есть канал YouTube, где мы сделали, я не знаю, 25 30 видео, и у нас есть блог на dev.to и все это Где мы говорим о разных путях и стратегиях, чтобы добавить безопасность в DEVOPS. И тогда у меня есть куча видео. Мой друг Imran Mohammad, он начал эту компанию под названием Practive Devsecops, и это как этот медленный, онлайн-курс онлайн из дома, который вы можете следовать немного за один раз. Сейчас он на самом деле просто отдал бесплатный курс Docker, например, как Pen Test Docker и как убедиться, что ваши контейнеры Docker безопасны, которые я принимаю, потому что это потрясающе. Я беру его домой И он дает это бесплатно. Так что есть как куча разных мест, где вы можете начать учиться, а также присоединиться к вашей местной главе OWASP.
Майк Пфефер: Да. Итак, Owasp, вероятно, есть много людей, наблюдающих за этим левовидом или слушающим в подкасте, на самом деле не ориентировано на безопасность, и даже не может знать, что это такое. Может быть, мы могли бы объяснить, что и сломайте его очень быстро.
Таня Янка: Хорошо. Поэтому помимо OwASP, как мой лучший друг навсегда, OWASP, он означает открытый проект безопасности веб-приложений. Это гигантское гигантское сообщество, которое все по всему миру. У нас есть 280 — что-то главы по всему миру. Раньше я был лидером главы, и я был лидером проекта до прошлой недели, когда я спустился только потому, что я занят. Но у нас есть, я думаю, 100 активных проектов, где каждый просто раздает вещи бесплатно и усилия, чтобы помочь людям узнать, как сделать безопасное программное обеспечение. Таким образом, есть руководства по тестированию ручек, есть безопасные руководства по кодированию, есть куча различных инструментов, которые вы можете использовать бесплатно. Все это бесплатно. Каждая вещь, которую можно сделать с OwASP, за исключением того, что если вы идете на один из своих гигантских конференций. У них есть конференции по всему миру, но у них также есть ежемесячные события, и все они свободны. Я встретил много моих друзей за последние пару лет в Оуэс.
Майк Pfeiffer: Ницца.
Таня Янка: Да. О, мой гос. Это действительно удивительное, поддерживающее сообщество людей, которые просто в восторге от той же вещей, которые я есть, например, как охранять программное обеспечение и как мне удалось добиться успеха в этой области, каковы хорошие стратегии, и это было неоценимо для меня.
Майк Пфефер: Это потрясающе.
Таня Янка: Да. Как разработчик программного обеспечения, это просто так огромно, и безопасность намного меньше, и это приятно, что вы можете просто встретиться с группой людей в человеке каждый месяц. Если вы действительно застряли на работе, вам буквально есть комната, полная экспертов, желающих помочь. Это круто.
Майк Пфефер: Полностью. Да. И это одна из причин, по которым я делаю это шоу, и это одна из причин, по которым я начал групповую группу пользователя назад 10 лет назад, и вроде таких вещей, потому что общинный аспект всех этих веществ настолько жизненно важен. Я думаю, что в начале моей карьеры я пытался сделать все сами и попытался понять вещи И я понял, эй, здесь есть тонна людей здесь, которые заинтересованы в разделе и обучения и помогают друг другу. Итак, если вы, ребята, там, которые слушают, видели ресурсы в Интернете. O-W-A-S-P, это именно то, о чем мы говорим здесь, если вы совершенно новенькие к этой концепции, так что это действительно круто.
Таня Янка: извините, что прерывает. Я только что понял мой микрофон … Я отодвинул его, потому что я пил кофе, и я не хотел пролить что-либо на этом. Теперь это ближе ко мне, так что если он слишком громко, вы можете настроить звук.
Майк Пфефер: Это звучит действительно хорошо, все еще, для меня Так что я думаю, что мы в хорошей форме. Это потрясающе. Я просто смотрю на некоторые комментарии здесь. Картик говорил: «Да, нам нужна информация о цельной безопасности, но и некоторой информации о облачных задачах сборки. «Вы вроде намекали на это ранее, где мы говорили о Azure DEVOPS и сбросивли от болта в трубопроводе. Потому что, в принципе, после того, как вы пройдете через весь процесс CI, вы можете иметь эту вещь очень быстро, что CI должен быть быстрым. Вы сделали точку, что это быстро, и это важно Таким образом, он, вероятно, попадает в это. Есть ли что-нибудь еще, что приходит к вашему разуму вокруг этой концепции, которая может немного помочь Karthik немного? Или это действительно больше того, что мы сосредоточиваемся на том, что бросают вещи в трубопровод, чтобы сделать эти сканы и разные вещи?
Таня Янка: Хорошо. Там так много вещей. Один, я лазурный человек, и я поставил мастерскую бесплатно онлайн о том, как обеспечить Azure, поэтому я могу дать вам ссылку после. Это двухчасовая мастерская, где я объясняю, что такое облачное родное, и новые стратегии для обеспечения этого. Мы можем сделать кучу упражнений в Azure и все это бесплатно. Есть бесплатная пробная версия, которую вы можете сделать в Azure. Я дам вам ссылку на это после того, как это поможет вам дать вам ускоренный курс, просто вступить в целование облака, что совершенно отличается от DEVSECOPS, что более сосредоточено на приложениях и дежопах … Я не знаю. Когда я думаю о devsecops, я много говорил о приложениях. Но вы правы, опс является частью этого.
Таня Янка: Хорошо. Итак, для Devesecops DEVOPS — это три вещи. Это, один, что вы хотите получить вещи очень быстро. Очень очень, очень быстро. И вкладывание все больше и больше вещей в вашем трубопроводе не обязательно является рецептом для этого фактически происходящего. Часть вещей, которые я видел с проектом Devslop, состоит в том, что некоторые вещи были просто брутальными. Многие компании Appsec похожи: «Да, поставьте наш инструмент SAST в свой трубопровод. «Я как», а потом, а потом на следующей неделе мы опубликуем наш код, и все разработчики найдут меня и не думают, что я уже крутил или дружить. «Они будут похожи», — сломал наш трубопровод. Ты полный отстой.» Верно?
Майк Пфефер: Да, полностью. Да.
Таня Янка: И они будут правы. Таким образом, помещая все в свой трубопровод, не обязательно ответ на это. И еще одна вещь, второй способ — это то, что вы хотите получить действительно быстрый обратную связь И именно поэтому люди ставят много вещей в трубопровод. Например, например, подобное Skeak или что-то подобное в вашем трубопроводе и получить действительно быструю обратную связь этой версии JavaScript, которую вы используете, — это миллион лет. Не используйте это. Это действительно небезопасно. Это действительно быстро. Но кто-то делает … Мне жаль выбирать на SAST, что является статическим тестированием безопасности приложений, которое делает символическое исполнение, проходящее и пытаясь выяснить, разбирая свой код для проблем безопасности. Он имеет тонны ложных позитивов. Все, что работает в SAST, знает, что это правда.
Таня Янка: Я знаю, что продавец скажет вам, что у него нет ничего. Они лгут. Но Sast медленно. Это занимает навсегда. Иногда это может занять целый день, чтобы отсканировать одно приложение, потому что это так интенсивно и удивительно. Это удивительно. Вы можете найти вещи, которые вы не найдете с другими инструментами, и это круто, но это не подходит в трубопроводе, если вы не только нацелены на один конкретный тип уязвимости, или вам действительно нужно вырезать его. Так что получить действительно быстрый обратную связь, потрясающе. Если вы собираетесь поместить продукцию SAST в вашем приложении, вы должны искать только очень, очень конкретные целевые цели, поэтому вы можете получить быстрый обратную связь, в отличие от «Почему наш трубопровод бежит 18 часов, Таня, и это все еще не выполнено? » Это не приемлемо.
Таня Янка: И тогда третья вещь — обучение, постоянное обучение. Опять же, если вы поставите что-то в трубопровод, который проходит 18 часов, вам лучше учиться у этого урока и изменить его. Иногда ответ делает другой трубопровод, тестируя его там, прежде чем вы потратите своих разработчиков. Иногда урок становится полностью за пределами трубопровода. Извините, что вернулся к моему продукту здесь, но мы не в трубопроводе. И все вроде: «Почему бы не Таня? Ты человек Devsecops. Вы любите devsecops. «Я вроде», — не просто трубопроводы. Это не так, это больше. «
Таня Янка: Безопасность — это код. Да, вы помещаете его в трубопровод, чтобы выпустить его, но он превращает его в код, который вы делаете, а не то, что вы надеваете его через трубопровод с остальной частью вашего программного обеспечения. Тот факт, что вы находитесь более эффективными, что вы получаете быстрее обратной связи, тот факт, что вы автоматизировали ракурскую работу, чтобы вы могли сосредоточиться на прохладных экспериментах и пытаться стать лучше и лучше и лучше. Это то, что вы делаете, это делает это дежоптом. Поэтому мы смотрели на все, и я как, — я не хочу быть продуктом медленного заднего, который находится в трубопроводе. Я не хочу быть другим шагом для них, чтобы пройти. Я хочу быть быстрее, чем это. И я не хочу видеть только вещи, когда он проходит через трубопровод ».
Таня Янка: Еще одна проблема, которую я видел … Я сделал много тестирования пера. Компании приведут меня, и они будут похожи: «Эй, Таня, проверьте эти два совершенно новых приложения. «Я бы понравился», хорошо. И тогда они будут похожи: «О, и все остальное не имеет возможности», и я бы сказал: «Даже эта вещь, которую вы построили в 90-х, которые широко открыты, это эта гигантская дверь на вашу сеть, которая выглядит так привлекательно для меня? » И они такие, как, «особенно что». Но, для плохих парней, это не в пределах объема.
Майк Пфефер: Полностью.
Таня Янка: Это не в пределах объема.
Майк Пфефер: Они смотрят на [Crosstalk 00:23:00], когда они видят это.
Таня Янка: Это первое, что они собираются идти.
Майк Пфефер: 100%.
Таня Янка: Я вроде, — просто позвольте мне сделать немного пассивного сканирования. » И они похожи: «Это может упасть». «Тогда у вас не должно быть в Интернете! » Мне жаль. Я взволнован.
Майк Пфефер: Нет, это хорошая точка зрения.
Таня Янка: Так много компаний, что они делают, — это продвигают несколько вещей в трубопровод, и это супер круто, но у них есть эта куча вещей, которые за пределами трубопровода, которые похожи на огонь. Так что для меня так важно толкать всю отрасль вперед. Это часть того, какого рода потянула меня к Appsec от Pen Testing. Я пришел бы, и я был бы первым человеком, чтобы посмотреть на безопасность, и я бы выглядел действительно крутым и умным. Как, — она хакер. «Я как», да. » Но тогда я был похож, что заставило меня чувствовать себя лучше, показывает все разработчики, как отсканировать свой код с zap и закрепить все основные проблемы, даже на старые вещи. И тогда наша целая осанка поднимается вместо одного приложения, как это там. Я как, — так это в камере, а потом все остальное все еще здесь? Я предпочел бы принести все такое так, так что вам сложно взломать или нарушать или злоупотреблять, чем ваш сосед, чем другая компания в вашем пространстве, и др.
Таня Янка: Я хочу, чтобы кто-то придется работать очень трудно, чтобы попасть в место, где я работаю. Я хочу быть похожим на Китае, не похоже на некоторую антисоциальную, разозлил подростка в подвале своих родителей. Я хочу, чтобы это было полностью из их предела. Я хочу иметь только современные противники. И если мы сосредоточимся только на одном или двух приложениях, которые крутые и новые, это не те, которые не те.
Майк Пфефер: Да, это те, которые они изучали навсегда, и в вашу точку зрения, даже говорят о … Вы упомянули, используя отдых против C ++. C ++ было около десятилетий, поэтому легче понимать этот мир. Это действительно хороший момент. И одна из вещей, которые вы сказали, что мне очень понравилось, была нечеткая сторона. Вы упомянули учебную культуру важной. Самая большая вещь, с которой мы сражаемся, особенно за последние 12 месяцев, была человеческая сторона, культура, такая сторона, мы делали это в течение 10 лет, бла, бла, бла. » Как вы думаете?
Mike Pfeiffer: Потому что я только что увидел статью ZDNET о Microsoft на днях о том, как они преобразуют свою культуру, и это все равно что приносит их на следующий уровень. Очевидно, что Amazon есть действительно отличная культура, и это позволяет им пойти действительно быстро. Как эти ребята, эти компании, собираемся заставить своих клиентов играть на их уровень? Поскольку кажется, что он почти каждый клиент, с которым я имею дело, есть эта проблема, где она, как будто они не охватывают эту культуру обучения. Вы видите это? Есть идеи?
Таня Янка: Да.
Майк Пфефер: Хорошо хорошо.
Таня Янка: Иногда компании договаривают меня, чтобы войти и поговорить со своими сотрудниками, и мне нравится делать публичные выступления Итак, я уйди всех и заставляю их действительно взволнованными о devops или о appsec или о том, что я очень взволнован. Потому что, по-видимому, у меня есть энергия, которая может быть немного инфекционной, потому что я взволнован, потому что это реально.
Майк Пфефер: И, кстати, не прерывать, но Ахмед говорил, когда вы упомянули, что раньше вы были взволнованы, он как «единственная причина, по которой я все еще смотрят, это потому, что она так взволнована». Так что это круто. Спасибо за привлечение энергии. Я признателен за это.
Таня Янка: Спасибо. Я думаю, что иногда видя человека, который чувствует, что это помогает, также. Я нахожу, если вы можете быть креативным с тем, как вы преподаете и как вы меняете свою культуру. Я где-то нанял, и идея заключалась в том, что я должен был создать программу обучения и стандарты, а затем также делать тестирование пера из-за, конечно, у меня будет две совершенно разные рабочие места, но и получите одну зарплату. Это очень канадское правительство. Так что посмотрел на все наши вещи, все сканы и все, что произошло, прежде чем я попал туда. И это, как, мы делаем много крепкостей И мы сосу. Мы полностью сосете на заголовках безопасности. Мы не используем все, что мы должны. Мы используем их очень спорадически. У всех есть разные настройки. Нет.
Таня Янка: Итак, мы сделали стандарт на заголовках. И пересеченные сценарии сайта вам не нужен стандарт на этом. Это просто, вот как это найти. Вот как это исправить. Совершенно неприемлемо. Так что я сделал это глубокое погружение на скрипты по пересечению сайта И мы думали, я думаю, 400 разработчиков. У нас был этот обед и учился, и только 10 человек пришли, и мой босс был таким сердцем. Она была похожа: «Пришли только 10 человек. Это было не так хорошо. «Я как», — нет, это было здорово. Эти 10 человек казались в этом. «Я как», я дам это каждый месяц, пока никто не появится. Мне все равно. «
Майк Пфефер: Полностью.
Таня Янка: «Мне все равно. Это моя работа. Я вообще вообще, восемь, девять часов в день. Я люблю говорить. Если один человек появляется, я дам этот разговор каждый месяц до бесконечности ». Поэтому через несколько дней кто-то подошел ко мне, и он как, «Таня, мне нужно что-то сказать». Я вернулся в мой офис, а затем я показал всю команду, как ее искать. И тогда мы открыли кучу наследие приложений, а затем мы нашли его в каждом приложении. Итак, мы просто полностью поставили все в сторону на полудня, и мы посмотрели на 100% наших приложений, и 100% наших наследующих приложений имели один или несколько скриптов по пересечению сайтов. Поэтому мы задокументировали все они. И затем на следующей неделе мы делаем спринт скриптов креста, и мы собираемся устранить этот класс ошибок из наших приложений. Большое спасибо. Я не могу дождаться вашего следующего урока.
Майк Пфефер: Это потрясающе. Хорошая победа, полностью [Crosstalk 00:28:56].
Таня Янка: Я сказал своему боссу, и мы сделали этот маленький счастливый танец вместе, и я был как » И этот парень собирается рассказать людям на других командах, а затем он просто будет распространяться. » Он был так взволнован, и его волнение распространилось в свою команду, и он как, «Да, винт, вы пересекаете сценарию сайта». «Я как», да. » Таким образом, вы можете построить это. И мы начали строить больше вещей, а потом Microsoft попросил меня прийти на себя работу для них, и я был как: «О, мою гошу, извините, я должен идти». И мой босс был похож: «Могу ли я пойти с тобой?»
Майк Пфефер: Это потрясающе.
Таня Янка: Да. Да, она замечательная.
Майк Пфефер: Это действительно круто. Это такая хорошая история, потому что там много уроков. Я думаю, номер один, не беспокойтесь о размере зрителей, с которым вы делитесь. Я думаю, что люди выходят из виду И это действительно важное послание. Но номер два, просто разговор и обнимая что-то новое. Это действительно интересно, как люди оттолкнутся к не меняете. И наша работа состоит в том, чтобы измениться, так что это интересно застревать в этом образце комфортной и не желающей меняться, а затем попытаться разговаривать людей в нем или кажется, что мы все обнимаем его. Так что это интересное время.
Майк Пфефер: И для людей, которые в этом мире отсасываются в облако, теперь они пытаются подумать о безопасности. Это проще, чем когда-либо полностью оставлять что-то широкое открытое. Как кто-нибудь может начать получать, по вашему мнению, все больше осторожности, сознательна как технический человек, независимо от того, были ли они ориентированы на развитие?
Таня Янка: Я так понимаю этот вопрос, что я написал сообщение в блоге, и это называется начать работу с Appsec. Я поделюсь ссылкой после. Это все бесплатные ресурсы, которые я написал, но в основном, что другие люди писали, что я использую для изучения Appsec. Так что это курс этой женщины по имени Солнечная одежда из Флориды, и она большой человек. Она научила меня Оус Топ 10. Она удивительна, и ее курс свободен, и вы можете сделать это онлайн, изучая действительно абстрактные концепции, которые чрезвычайно сложны. Возможность замедлить, посмотреть эту часть урока снова, сделайте упражнение, посмотрите это снова. Мне было неоценимо для меня, чтобы узнать все внутри и снаружи. Я написал сериал блога под названием «Вставил влево», как босс, потому что мне нравится папа шутки.
Таня Янка: Это целая серия о том, что такое безопасность приложений? Что такое требования к безопасности? Что значит моделирование угрозы, даже как это работает? Так что в основном просто как по одному, я просто пытался поделиться всеми, которые я могу. Я также следую кучу Application Security людей. Итак, присоединение к вашей местной главе OWASP и следование им в Twitter отлично. В основном Оус, основа, твиты о наших событиях. Это не очень часто чирикать о appsec, но и следит за людьми. Если вы посмотрите на Twitter, вы смотрите на LinkedIn. Я просто ищу owasp, и если они лидер Owasp, я как, «Привет, могу ли мы подключиться? Мне нужно посмотреть, что вы делитесь. Что бы вы ни делитесь, я хочу прочитать это ».
Таня Янка: И почти все они сказали: «Да. «Я как», — я не жуткий. Я хороший и дружелюбный. И Owasp люди, как правило, действительно, действительно дружелюбны. Если у кого-то есть Owasp в своем описании, они, вероятно, действительно приятно. Итак, мой канал LinkedIn и мой Twitter Feed — это просто потрясающий.
Майк Пфефер: Хороший. Да, похоже, что в сообществе, определенно много примеров, разных карманов, разных тем. Но если там есть сообщество, то, что я нашел, обычно, девять раз из десяти, даже более того, поддерживает, и в этих общинах много очень щедрых людей. Так что я бы повторил это. Получить в игре в сеть, войти в разговор, следуйте за хэштегами на социальные. Вам не нужно публиковать, вы просто читаете, может быть, задаем вопросы. Это действительно важно. Я думаю, что многие люди могут не попасть, потому что они не осознают ценность там, поэтому я рад, что мы свели на этом свет.
Таня Янка: Извините, у меня есть еще два.
Майк Пфефер: Да, иди вперед.
Таня Янка: Хорошо, так еще один. Если вы женщины или вы идентифицируете вообще как женщина, вы должны учитывать присоединение к WOSEC, женщинам ценных бумаг. Это эта большая группа. У нас есть 32 глава по всему миру. Мы только полтора года, хотя, так что это довольно хорошо.
Майк Пфефер: Замечательно.
Таня Янка: В основном мы встречаемся, и мы тусуемся. Мы делаем уроки только для женщин, а затем мы посещаем другие события как группу, поэтому вы никогда не единственной женщиной там. Я не знаю, как вам объяснить, Майкл, насколько страшно пойти на встречу. Это на частной собственности. Вы не знаете одного человека. Каждый человек есть мужчина, кроме вас, и они пьют алкоголь. Это ужасно. Это как, — это такая глупая идея, Таня, ты не должен делать это. «Я как», но я действительно хочу учиться Python.
Таня Янка: Так что идут как группа, это больше не страшно. Это совсем не пугается. Вы принесли кучу друзей. Мы разбились RSA в прошлом году, девиконом, всевозможных Bsides. Мы называем это сбой, но мы идем как группа. Это супер весело. И тогда последнее, если вы используете Twitter, я использую этот хэштег каждый понедельник, и каждый может использовать его. Это не для меня, это для всех остальных. Это называется наставничеством в понедельник. Если вы Tweet по понедельникам, и вы его используете, я буду решить вас. По сути, я пытаюсь помочь соединить людей. Поэтому, если у вас есть большой опыт информации о информационной безопасности, и вы хотите помочь кому-то узнать, будь то предложение книги, встреча с ними онлайн для чата или взять их под вашим крылом и встречаться с ними все время.
Таня Янка: А для кого-то просто присоединившись, будучи рассказанным: «Это книга, которую вам нужно начать с», или «позвольте мне представить вам этому человеку», или «Следуйте этим трем счетам, потому что это те, которые вы» буду хочу. «Я связывал так много людей. Сообщество информационного обеспечения отсутствует из этого мира, удивительно отвечая на людей. Поэтому, когда вы смотрите на хэштег, вы можете подумать: «О, есть всего 30 или 50 или 60 твитов в этот понедельник», но на самом деле на самом деле сотни людей, которые тайно отвечают на людей и разговаривают с ними. Это удивительно, и спасибо нашему сообществу за в основном помогая людям, предоставляя им эту помощь вручную в нашу общину, нашу отрасль. Это удивительно.
Майк Пфефер: Да, там было много, и это действительно, действительно ценно. Я думаю, что нам легко … Вы застряли в своем собственном мире, и вы начинаете забывать о перспективе других людей. Это, для меня, многие из того, что DEVOPS все о том, что выходит из головы и подумать об этом от чужой точки зрения, а затем попытаться найти способ сотрудничества и сквошить целое США против них динамично. Но что вы упомянули об этой более новой организации, которую вы создали, что это было?
Таня Янка: WOSEC. Женщины безопасности.
Майк Пфефер: Это потрясающе. Потому что, вы правы, обычно, ночью встречаются и вещи ночью и, мужчина, это просто одна из тех вещей, где легко пропустить его от радара, если вы не оттаиваетесь на нем. Это потрясающе. Я люблю вещи сообщества. Если кто-то думает о сертификатах в этом мире, есть ли что-нибудь там, что люди для людей иметь в своем резюме с точки зрения сертификации?
Таня Янка: Это постоянно постоянно и InfoSec, у меня нет сертификатов, но я могу просто сказать: «Google Me», а потом моя квалификация там. И нормальные люди, это не так. Поэтому я не чувствую, что могу посоветовать о сертификатах. Потому что у меня нет положительного чувства на них. Я знаю, что многие правительственные контракты требуют, чтобы у вас было x количество сертификатов А потом я как, «Ну, я думаю, ты не можешь иметь меня. Жесткое дерьмо. «Потому что есть еще 10 000 рабочих мест, которые нанимают меня. Я знаю много мест просить сертификации, потому что у них нет знаний о безопасности, чтобы задать углубленные вопросы, чтобы выяснить, что вы действительно знаете, что вы делаете.
Таня Янка: Но у меня нет никаких советов, на которых есть хорошие, к сожалению. Это отрасль и, работая на себя, я полностью понимаю. У меня есть счета для оплаты. Я полностью хочу оплатить свою ипотеку каждый месяц, поэтому я полностью понимаю, что нам нужно взимать деньги за эти вещи. Но я не чувствую, что у меня есть хороший или беспристрастный совет, чтобы дать на эту тему.
Майк Пфефер: Это имеет смысл. Я своего рода так же. Я думаю, что часть запуска вашей собственной компании, для меня, способна выбрать проекты, на которых вы хотите работать. Для меня не так много наращивало эту огромную вещь. Так что в любом случае, это просто зависит от того, где вы находитесь. Кроме того, у меня нет тонны осведомленности вокруг всех различных сертификатов безопасности, которые там нет. Я знаю, что Azure только что вышел с сертификацией безопасности, что мне нужно сделать в какой-то момент. Вы вообще посмотрели на это или видели все вокруг этого? Я не провел много времени действительно копаться в него.
Таня Янка: Я не сделал. Тем не менее, моя предыдущая команда Microsoft, группа их планирует просто сделать все сертификаты. Как [Crosstalk 00:38:15]
Майк Пфефер: Кажется, что это новее, и это, вероятно, собирается получить больше тяги. Потому что я думаю, что сейчас он просто сосредоточен на службах безопасности, не столько моделей и практики материалов, которые, возможно, вы поделились на этом эпизоде.
Таня Янка: Я людей заинтересованы в конкретных сертификатах Azure, я предлагаю тем, что они следуют за манжетой Sonya и Orin Thomas из моей предыдущей команды в Microsoft, их адвокаты Azure, потому что эти два просто раздают его. Они есть, они есть. Таким образом, они будут твитом, как пройти сертификаты и уроки и блоги и материалы об этом. Потому что-
Майк Пфефер: Да, они разделяют много И я увижу его там много. Они делают действительно хорошую работу. Орин сделан тонны книг тоже. Этот парень легендой.
Таня Янка: 42.
Майк Пфефер: Сколько?
Таня Янка:
- 42 книги для Microsoft [Crosstalk 00:39:05]
Майк Пфефер: Я думаю, что это убьет меня, если честно.
Таня Янка: Удивительно. И он супер весело работать с тоже на самом деле. Да, он очень смешно.
Майк Пфефер: Да, это круто.
Таня Янка: Он полностью держит это для себя. Он не делает это в Twitter. Он будет написать мне, а затем заставит меня смеяться с моей задницей. Я как, — ты должен твитнуть это. » Он как, — Нет. Мы все профессиональные и вещи. «Я как», ты знаешь что? Ты такой смешной.»
Майк Пфефер: Мы никогда не узнаем. Мы должны работать на Microsoft, чтобы узнать и работать над своей командой. Отлично. Что ж, как мы вроде обернуть шоу, что мы должны говорить или смотреть на то, как мы уходим отсюда после этого разговора? Где мы можем найти вас и что мы должны обращать внимание?
Таня Янка: Хорошо, так что, пожалуйста, следуйте за мной в Twitter в Shehackspurple. Если вы читаете блоги, у меня есть блог на Dev.to и Medium, и они оба называются, Shehackspurple. Вы можете следовать за мной на LinkedIn, но мне не разрешено подключаться к вам. Извиняюсь. У меня слишком много соединений, и LinkedIn злится на меня.
Mike Pfeiffer: Я думаю, что я следую за тобой на LinkedIn, верно?
Таня Янка: Да.
Майк Пфефер: Наверное.
Таня Янка: Да. Потому что у меня осталось двух пятен. Я должен был выбрать кого-то, чтобы я мог связаться с вами этим утром.
Майк Pfeiffer: О, я очень [Crosstalk 00:40:20].
Таня Янка: Есть максимум, и они похожи: «Никаких, Таня, остановись. «Но я бы действительно понравился, если бы люди проведут сайт моей компании, Securitykick.dev. У нас есть ручка Twitter, Secsidekick, и у нас есть канал YouTube, который мы ничего не разместили, но наш план — выпустить много бесплатного образовательного контента, потому что это важно для меня. Мы хотим переместить нашу отрасль вперед. Поэтому, если бы вы могли проверить мою компанию, это будет замечательная услуга для меня. И прочитайте мой блог. Конец. О, и я тоже на YouTube тоже. Это Шехакспурпл. Просто посмотрите на Shehackspurple и выберите, следуйте, следуйте, следуйте.
Майк Пфефер: Вы действительно все через Интернет, не так ли? Это потрясающе.
Таня Янка: Я ботаник в Интернете, это правда.
Майк Pfeiffer: вещь, которую смешно, я знал, что ваша ручка была Шехакпурплем, но мне потребовалось 10 минут нахождения в этом живом звонке, чтобы увидеть фиолетовую рубашку и понимать, о, о, есть связь с … А также фиолетовый
Таня Янка: фиолетовые волосы.
Майк Пфефер: Это потрясающе.
Таня Янка: Да. Спасибо.
Майк Pfeiffer: На самом деле он выглядит коричневым на видео, на котором я смотрю, но после того, как вы вроде переехали к камере, теперь я могу сказать, что это фиолетовый. Это так классно.
Таня Янка: Это коричневая, а затем медленно исчезает в фиолетовом, поэтому он подлый.
Майк Pfeiffer: получил его. Очень круто. Я ревнуюсь, что у вас есть волосы, и я не. Отлично выглядишь.
Таня Янка: Я знаю. О, Боже мой, ты странный.
Mike Pfeiffer: Я собираюсь поставить в шоу отметить все ссылки, которые Таня поделилась на этом эпизоде, ее веб-сайтам, разные инструменты, о которых мы говорили, разные статьи. Я ценю всех, кто находится на Livestream сегодня и, Таня Янка, большое спасибо. Я действительно ценю время, которое вы потратили с нами. Спасибо.
Таня Янка: Спасибо за то, что я. Это было здорово.
Оригинал: «https://dev.to/cloudskills/getting-started-with-devsecops-appsec-and-cloud-security-3l6j»