Профессиональная конференция по интеграции процессов разработки, тестирования и эксплуатации

7 и 8 апреля 2025

Москва

Как начать интегрировать принципы защиты API в процесс разработки, подружиться с AppSec-командой и не увеличить сроки релиза

Безопасность, DevSecOps

Безопасность

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

DevOps-инженеры, разработчики, AppSec-инженеры

Тезисы

API - это самый удобный способ публикации сервисов B2B и B2C. Но даже крупные компании, такие как Apple (случай с Apple iCloud account takeover), Google (случай с Google Cloud Platform IAM API), Mercedes-Benz (случай с Mercedes-Benz car control) и т.п. допускают ошибки при разработке и публикации своих API.

В первой части я расскажу об ошибках, которые допускали компании при публикации своих сервисов, как они исправляли эти ошибки и как этого можно было бы не допустить.

Во второй части доклада я расскажу про мой опыт организации процесса защиты API, который усложниля тем, что приходилось "дружить" с двумя командами сразу, объясняя почему ИБ и разработка должны договариваться а не выставлять требования.

В третей части доклада я расскажу про то, что можно начать применять уже завтра для защиты своих API.

ИБ-специалист, который за 18 лет поработал, наверное, со всеми технологиями безопасности ит-инфраструктуры и сервисов.

Innostage

Группа компаний Innostage является провайдером киберустойчивости, что можно понимать как услуги по консалтингу, проектированию, внедрению процессов и средств защиты, а так же их сопровождению и развитию.

Видео

Другие доклады секции

Безопасность, DevSecOps

AppSec Platform
Антон Гаврилов

Инфосистемы Джет

FinDevSecOps - от регуляторики к реализации
Максим Кожокарь

Центральный Банк Российской Федерации

How much is the fish. Security cookbook
Андрей Сухоруков

Лаборатория Касперского