[#60] "Vendors vs. The Truth – Scan Tools and The OWASP Top 10" - Thomas Konrad

youtube.com 2 lat temu


Nagranie z SecOps Polska Online MeetUp #29 z dn. 18.05.2022 r.

Strona www projektu SecOps Polska: https://secopspolska.pl/​​
Facebook SecOps Polska: https://www.facebook.com/SecOpsPolska​​
Szkolenia: https://sysopspolska.pl/szkolenia/

PL
Spójrzmy prawdzie w oczy, bezpieczeństwo nie jest czymś, czym większość programistów i pracowników operacyjnych chce się zajmować. Zajmuje to czas, jest skomplikowane i nikt Wam za to nie podziękuje - w końcu nie ma chwały w zapobieganiu. Kiedy przyjrzymy się bliżej typom podatności, takim jak OWASP Top 10 czy OWASP API Security Top 10, gwałtownie zauważymy, iż tylko bardzo kilka z nich może być wiarygodnie wykrytych przez zautomatyzowane środki, takie jak narzędzia SAST, DAST i IAST. Podczas swojej prelekcji Thomas wyjaśni, dlaczego tak się dzieje i pokaże bardziej zrównoważone podejście do pokrycia typowych typów podatności.

ENG
Let's face it, security is not something most developers or operations people want to deal with. It takes time, it's complicated, no one will thank you for it – after all, there’s no glory in prevention. So it comes in handy when security tool vendors claim that they can cover the most prevalent and severe vulnerabilities in software. Throw some money at them and you're done. Well, as you might have guessed already, it is not that easy. When you have a closer look at common vulnerability types such as the OWASP Top 10 and the OWASP API Security Top 10, you'll see very quickly that only very few of them can even be reliably detected by automated means such as SAST, DAST and IAST tools. In this talk, Thomas will explain why this is the case, and show you a more sustainable approach to covering common vulnerability types.

Thomas pracuje w firmie Dynatrace - więcej o ich działalności dowiecie się ze strony: https://www.dynatrace.com/

Thomas works at Dynatrace - you can learn more about their activities at: https://www.dynatrace.com/