Marcin Zajączkowski: Podstawy bezpieczeństwa dla deweloperów (i nie tylko) | JDD 2023

youtube.com 9 miesięcy temu


Lata 20-te XXI wieku. Myriady microserwisów są każdego dnia wielokrotnie automatycznie wdrażane na produkcję przez procesy CI/CD. W wielu przypadkach dowolna zmiana zintegrowana z branchem głównym (ang. merge do mastera) może w ciągu kilku(nastu) minut być wystawiona na świat dla wszystkich "zainteresowanych". Dla potencjalnych podatności wynikających z wadliwej linijki kodu lub z niefortunnej zmiany konfiguracji nie ma wyjątków. Reaktywna naprawa po kolejnych ręcznych testach penetracyjnych może przyjść dużo za późno. Sercem prezentacji będzie zbiór podstawowych zasad i praktyk, których zastosowanie pozwoli przenieść dbałość o bezpieczeństwo już na poziom "pisania kodu" (t.j. zespół deweloperski) i nie dopuszczać do pojawienia się zagrożenia (przesunięcie w lewo w cyklu tworzenia systemu - SDLC), zamiast wykrywać je post-factum i łatać. Będzie o repozytoriach i hasłach, dostępach i VPNach, zależnościach, skanerach, narzędziach i... zdrowym rozsądku. Być może nie będzie zbyt wielu odkrywczych elementów - wszystko powinno być już "dobrze znane przez wszystkich". Niestety, jak pokazuje moje doświadczenie w pracy z wieloma projektami i zespołami, zwykle - używając eufemizmu - "nie jest tak różowo" i albo tej wiedzy nie ma albo nie jest należycie wykorzystywana...

🚀 https://jdd.org.pl/