Время и деньги, как правило, являются ресурсами, на которых мы сосредоточены при создании приложений. И все же мы не можем купить доверие; Он строится медленно и может быть разбит быстро, когда мы не учитываем это в нашем процессе разработки. В этом выступлении я изучил, как использовать методы безопасности, чтобы обеспечить все командный подход к безопасности, чтобы помочь сохранить и создать этот ценный, но нематериальный ресурс доверия.
Я выступил с этим выступлением на нескольких конференциях, включая создание стартап -тура, Торонто, Devopsdays Portland, Devopsdays London, Srecon EU и Velocity. За это время я обновил слайды и ресурсы. Вот актуальные ресурсы в легкодоступном списке. Это ни в коем случае не исчерпывающий список качественных ресурсов в этом пространстве.
Вы можете найти текущие слайды на Колода динамика Анкет Более ранние версии этого разговора здесь:
- Devopsdays London версии слайдов
- SRECON EU слайды и видео
- Слайды скорости
- DevOpsdays Chattanooga 2019 слайды
Веб -сайты
- Проверьте, была ли скомпрометирована учетная запись в нарушении данных на https://haveibeenpwnd.com.
- Отчет Verizon Data Breach
- Пример атаки.
- Snyk State of Open Secute Report — 2019
- Протолкнуть серию влево от Тани Джанка
Проектирование с акцентом на безопасность
- OWASP Application Security Security Standard Project
- Инструмент моделирования угроз Microsoft
- Проект модели угроз OWASP
Тестирование
- Пример вопроса, которая могла быть предотвращена с помощью личинга
- Соответствие в качестве кода
- Обнаружение риска безопасности Microsoft — тестирование на пузырь
- Узнайте все о тестировании с Университетом об автоматизации тестов
Ответ инцидента
Используйте функции вашей платформы и понимайте ограничения
- Лазур
- Основной центр безопасности Azure (проект) Центр безопасности Azure имеет бесплатный уровень Это автоматически включено на все подписки Azure и обеспечивает политику безопасности, непрерывную оценку безопасности и действенные рекомендации по безопасности, чтобы помочь вам защитить ваши ресурсы Azure.
- Центральная документация для центра безопасности Azure
- Модуль Learn Learn для центра безопасности Azure
Уровень навыки безопасности
- Захватить ресурсы флага
- CTF с Google
- CTF Circle — CTF Распределенная команда для небииных людей и женщин
- Owasp Juice Shop Project
- Azure Learn Modules для операций безопасности
Твиттер
Это несколько интересных учетных записей в Твиттере людей, которые заботятся о безопасности и конфиденциальности.
- Варенье
- Ян Колдуотер
- Тинкер Фея
- Тери Радихель
- Таня Янка
- Кариад
- JEENSEA PETERSEN
- Сарай Розенберг
- Виктория Дрейк
- Кристофер Харрелл
- Йолонда Смит
- Луис Сайс Гимено
- Кристина Морильо
- Quiessence Phillips
- Элисон Джаронто
- Памела Дингл
- Виктория Дрейк
- Келли Шортридж
- Ана Опреа
- Контакт CTF Circle Чтобы получить доступ к CTF -распределенной команде Slack для небийных людей и женщин
- OWASP
- Wosec
Ослабление
- CTF Circle , CTF Распределенная команда Slack для небранных людей и женщин
Что дальше?
Я поделился некоторыми различными практиками, технологиями и примерами конкретных инструментов, которые могут помочь вам внедрить безопасность на каждом этапе жизненного цикла разработки в моей презентации. Что вы делаете дальше?
- Идентифицировать Сильные и слабые стороны вашей команды. Сколько безопасности в каждой части жизненного цикла разработки.
- Оценить Где сейчас самая большая ценность для вас; Например, Red Teaming Ваше приложение может не очень использовать время людей, если у вас нет адекватных процессов реагирования в игре для справки с инцидентом.
- Уровень знаний о безопасности через команду. Чем раньше обнаружены недостатки и ошибки безопасности в реализации, тем легче их ремонтировать. Независимо от того, в какой профилактике вы инвестируете, после развертывания будут обнаружены уязвимости, поэтому убедитесь, что ваш процесс реагирования тщательно продумана.
- Включите обратную связь с каждой фазы.
- Обновить модели угроз Вы должны отражать знания, которые вы получаете от используемых систем.
У вас есть ресурсы, которые вы бы порекомендовали? Пожалуйста, поделитесь ниже, и я обновлю эту страницу, чтобы включить их.
Оригинал: «https://dev.to/sigje/resources-for-talk-prioritizing-trust-while-creating-applications-1hpe»