Все понимают, что безопасная разработка — это важно. Но мало кто знает, с чего начать внедрение, какие инструменты выбрать на старте и как отслеживать эффективность.
Мы решили облегчить эту задачу и выделили пять ключевых шагов, которые помогут внедрить безопасную разработку с нуля и сэкономить на исправлении уязвимостей до релиза ПО.
Шаг 1. Заручитесь поддержкой руководства, определитесь с методологией безопасной разработки (BSIMM, Microsoft SDL и др.) и соберите команду проекта.
Шаг 2. Оцените, какие приложения создают в компании сейчас и как проходит их разработка.
Шаг 3. Выберите основные цели. Например, довести выполнение требований комплаенса до 100% или внедрить инструменты автоматического анализа для определенного процента компонентов проекта.
Шаг 4. Составьте план внедрения со всеми этапами, дедлайнами и ответственными лицами.
Шаг 5. Переходите непосредственно к внедрению процессов и инструментов. Как это сделать — читайте в карточках.
А если вы уже пробовали внедрить безопасную разработку — делитесь в комментариях, с какими сложностями столкнулись. Мы поможем разобраться.
Мы решили облегчить эту задачу и выделили пять ключевых шагов, которые помогут внедрить безопасную разработку с нуля и сэкономить на исправлении уязвимостей до релиза ПО.
Шаг 1. Заручитесь поддержкой руководства, определитесь с методологией безопасной разработки (BSIMM, Microsoft SDL и др.) и соберите команду проекта.
Шаг 2. Оцените, какие приложения создают в компании сейчас и как проходит их разработка.
Шаг 3. Выберите основные цели. Например, довести выполнение требований комплаенса до 100% или внедрить инструменты автоматического анализа для определенного процента компонентов проекта.
Шаг 4. Составьте план внедрения со всеми этапами, дедлайнами и ответственными лицами.
Шаг 5. Переходите непосредственно к внедрению процессов и инструментов. Как это сделать — читайте в карточках.
А если вы уже пробовали внедрить безопасную разработку — делитесь в комментариях, с какими сложностями столкнулись. Мы поможем разобраться.
🔥7❤3👍3
О каких аспектах безопасной разработки вы хотите подробнее узнать в следующих постах?
Anonymous Poll
38%
Инструменты для анализа кода (SAST, DAST, SCA, SCS)
42%
Кейсы внедрения у заказчиков
37%
Рекомендации, как внедрить безопасную разработку
3%
Другое (напишу в комментариях)
This media is not supported in your browser
VIEW IN TELEGRAM
Чтобы сделать шаг в будущее, нужно иметь талант, желание и один год. Именно столько времени прошло с тех пор, как мы запустили виртуальное исполнение Solar NGFW.
За этот период проделана колоссальная работа и достигнуты впечатляющие результаты:
• более 30 пилотов;
• первые коммерческие продажи и обратная связь от рынка;
• доработки продукта и корректировки роадмапа.
Все благодаря гибкой и профессиональной команде фабрики технологий «Солара», которая развивает наши сервисы и решения. В ней уже 700+ человек, которые работают и над Solar NGFW.
Присоединяйтесь к трансляции 14 мая в 17:00, чтобы узнать больше о наших достижениях и планах. Регистрируйтесь через чат-бот.
За этот период проделана колоссальная работа и достигнуты впечатляющие результаты:
• более 30 пилотов;
• первые коммерческие продажи и обратная связь от рынка;
• доработки продукта и корректировки роадмапа.
Все благодаря гибкой и профессиональной команде фабрики технологий «Солара», которая развивает наши сервисы и решения. В ней уже 700+ человек, которые работают и над Solar NGFW.
Присоединяйтесь к трансляции 14 мая в 17:00, чтобы узнать больше о наших достижениях и планах. Регистрируйтесь через чат-бот.
⚡9👏5❤4👍1
Как думаете, кто прав?
Anonymous Quiz
85%
Элис. Если в названии библиотеки ошибка, пользоваться ей опасно.
15%
Боб. Если библиотека работает исправно, значит она не представляет опасность.
Если в названии библиотеки ошибка, пользоваться ей небезопасно💡
В голосовом сообщении Элис говорит о Typosquatting — это частая стратегия, когда злоумышленники добавляют вредоносный функционал в рабочую библиотеку и выкладывают ее в пакетный менеджер с незаметной опечаткой.
Мы уже рассказывали, как оценить безопасность внешней библиотеки. Теперь разберемся, что делать, если злонамеренная библиотека маскируется под проверенную. В карточках объясняем, какие бывают виды атак через Supply Chain и как от них защититься.
В голосовом сообщении Элис говорит о Typosquatting — это частая стратегия, когда злоумышленники добавляют вредоносный функционал в рабочую библиотеку и выкладывают ее в пакетный менеджер с незаметной опечаткой.
Мы уже рассказывали, как оценить безопасность внешней библиотеки. Теперь разберемся, что делать, если злонамеренная библиотека маскируется под проверенную. В карточках объясняем, какие бывают виды атак через Supply Chain и как от них защититься.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Солар
Представим ситуацию: в крупной ИТ-компании работает две тысячи человек. Каждому сотруднику необходимо дать доступ к приложениям, базам данных, информационным системам. Вручную справиться с этой задачей очень сложно. ✅ Облегчить управление доступом в компании…
Ролевая модель помогает настроить доступ к корпоративным данным в больших компаниях. Она автоматически распределяет базовые права, позволяя бухгалтерам работать с договорами и зарплатными данными, а менеджерам по продажам — с клиентскими базами.
Сложности появляются, когда сотруднику нужен доступ, отличающийся от его роли. Например, бухгалтер из Казани приехал в Москву и ему потребовался доступ к счетам московского филиала, или внешнему менеджеру по продажам необходимо настроить ограниченные права. В такой ситуации приходится оформлять отдельные заявки и ждать, когда их согласуют.
💡 Справиться с этой проблемой помогает новая версия IdM-системы Solar inRights 3.3. Она назначает права доступа с помощью двух моделей — ролевой и атрибутивной. Теперь доступ к ресурсам компании выдается автоматически по местоположению, кадровому статусу, номеру подразделения и другим характеристикам.
В карточках рассказываем, как это устроено и почему комплексный подход удобнее, чем доступ только по ролям.
Сложности появляются, когда сотруднику нужен доступ, отличающийся от его роли. Например, бухгалтер из Казани приехал в Москву и ему потребовался доступ к счетам московского филиала, или внешнему менеджеру по продажам необходимо настроить ограниченные права. В такой ситуации приходится оформлять отдельные заявки и ждать, когда их согласуют.
В карточках рассказываем, как это устроено и почему комплексный подход удобнее, чем доступ только по ролям.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥6❤5
Пока ИБ-специалисты отдыхают от компьютера на майских праздниках, их дети смотрят видеоблогеров и играют в Roblox. Мы знаем, что многие родители мечтают, чтобы ребенок пользовался интернетом только для учебы, и «Солар» делает это возможным во всех российских школах.
Сертифицированный ФСТЭК России Solar webProxy стоит на страже воспитания и внимательно следит за поисковыми запросами учеников. Листайте карточки, чтобы узнать, как мы защищаем школьников от информационных угроз.
Сертифицированный ФСТЭК России Solar webProxy стоит на страже воспитания и внимательно следит за поисковыми запросами учеников. Листайте карточки, чтобы узнать, как мы защищаем школьников от информационных угроз.
👍7🔥7❤3