Как встроить базовый SEC в DEVOPS без безопасников

Безопасность, DevSecOps

Доклад принят в программу конференции

Тезисы

Команда DevOps становится важнейшим элементом бизнеса во всех компаниях, если вы не хотите проиграть конкурентам в гонке за Time-to-Market. Итак, вы выстроили идеальный DevOps и тут приходит она... Безопасность. Кажется, она только замедляет процесс и заставляет делать лишнюю работу, не так ли? Наличие централизованной службы безопасности с узкими компетенциями в безопасной разработке (SDLC или SDL) может быть роскошью для средних компаний, а в крупной - их точно не хватит на все проекты. Нужно ли инженерам DevOps изучать все про уязвимости, стандарты, нормативку и инструменты безопасности? Ответ - нет, по крайней мере для baseline: предоставлять максимально надежные и безопасные продукты своими силами (принцип 80/20). Если ты DevOps инженер, Разработчики, Тимлид или Тестировщик - этот доклад для тебя. Мы поговорим о том, откуда вообще берутся уязвимости, с чего начать Sec в DevOps, базовые инструемнты и "грабли" Sec в DevOps, а так же Истории успеха DevOps-команд благодаря Sec.

Опыт работы в сфере информационной безопасности более 10 лет. Свою карьеру начинал на стороне государственного заказчика. Реализовал несколько крупных проектов по ИБ, работая в региональном интеграторе, прошел путь от инженера до начальника подразделения. Руководил коммерческим ИБ направлением в телеком-операторе, решал задачи по развитию бизнеса в 13 регионах, выводил на рынок новые продукты. Руководил Центром компетенций в отечественной компании — производителе средств защиты информации, участвовал в формировании глобальной стратегии компании, развивал бизнес, оказывал экспертную поддержку ключевым клиентам на территории России и за рубежом. Сейчас занимаюсь выстраиванием процессов безопасного проектирования и разработки программного (Software) обеспечения в одном из мировых лидеров высокотехнологичной индустрии. Кроме того, являюсь соавтором и преподавателем профессии "Информационной безопасность" в "Нетологии" (netology.ru).

Видео