Выпуск 21: DevSecOps, или детектив с поиском того, кто уронил продакшн

Гости нашего нового выпуска – ребята из компании Инфосистемы Джет: - Алина Новопольцева, инженер-аналитик-консультант по информационной безопасности; - Павел Яньков, эксперт группы DevSecOps Обсудили с Алиной и Павлом: - что такое девсекопс, и какое место он занимает в разработке продукта; - какие инструменты используются для обеспечения безопасности; - почему на этапе выпуска продукта на рынок девсекопс не заканчивается. - как стать девсекопс-специалистом. Термины выпуска: SAST – статический анализатор исходного кода ПО. Используется при создании ПО, результаты отрабатываются вместе с разработчиками; SCA – Software composition analysis. Показывает какие заимствованные компоненты используются в ПО (всякие сторонние библиотеки, в которых могут быть уязвимости); DAST – динамический анализатор ПО. Применяется, когда приложение уже работает. Имитирует действия злоумышленника. Secret Management – система управления секретами. Применяется для централизованного хранения секретов (ключей, паролей, токенов доступа и прочего) и управления доступом к ним. BSIMM (Building Security In Maturity Model) помогает организациям планировать, внедрять и оценивать свои инициативы по обеспечению безопасности программного обеспечения. SSDLC (Secure Software Development Lifecycle) – цикл безопасной разработки ПО. SAMM (Software Assurance Maturity Model) – модель обеспечения безопасности ПО, фреймворк базы знаний и документации, помогающий построить цикл разработки безопасных приложений. __________________________ Где нас ещё можно послушать: Яндекс музыка: https://music.yandex.ru/album/11659894 Apple podcast: https://podcasts.apple.com/ru/podcast/russky-digital/id1526097167?i=1000486929741 YouTube: https://youtu.be/h3RDiO8BlSI __________________________ Сайт Russky Digital https://russky.digital/ Телеграм чат для абитуриентов бакалавриата: https://t.me/russky_digital_beta Телеграм чат для абитуриентов магистратуры: https://t.me/rdmasters23