Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Новая методология AppSec Table Top: как эффективно и безболезненно выстроить процессы безопасной разработки

Всем привет! Меня зовут Евгений Иляхин, я работаю архитектором процессов безопасной разработки в Positive Technologies, вместе с командой консалтинга в области безопасной разработки мы специализируемся на внедрении AppSec в различных компаниях и всячески продвигаем этот подход в массы. В отрасли ИБ существует множество методологий, фреймворков, моделей безопасной разработки, которые помогают встроить AppSec в цикл создания ПО: BSIMM, OWASP SAMM, BSA SSF, Microsoft SDL и другие. Каждый из них имеет свои особенности, преимущества и, скажем так, способ использования и адаптации к собственным процессам. В ходе нашей работы мы познакомились со многими из них и пришли к выводу, что российским разработчикам нужен собственный инструмент. Зачем? Что из этого получилось? Расскажу в этой статье. Что за AppSec Table Top такой?

https://habr.com/ru/companies/pt/articles/862906/

#AppSec_Table_Top #bsimm #appsec #методология #cybersecurity #безопасная_разработка #devsecops #фреймворк #управление_разработкой

Международные стандарты безопасной разработки: ликбез

DevSecOps — это не просто модное словечко, а целая философия, объединяющая разработку, безопасность и операции. Но как применить эту философию на практике? Здесь на помощь приходят международные стандарты. В этой статье мы рассмотрим пять основных международных DevSecOps-стандартов: DSOMM, BSIMM, OWASP SAMM, Microsoft SDL и NIST SP 800-64. Мы разберем их особенности, сильные и слабые стороны, а также поговорим о том, как адаптировать эти стандарты к российским реалиям. Неважно, работаете ли вы в крупной корпорации или небольшом стартапе, — понимание этих стандартов поможет вам выстроить более безопасный и эффективный процесс разработки.

https://habr.com/ru/companies/bastion/articles/852492/

#devsecops #безопасная_разработка #стандарты_devsecops #DSOMM #bsimm #owasp_samm #Microsoft_SDL #NIST_SP_80064 #методологии_devsecops

Модели зрелости в кибербезопасности на примере OWASP SAMM

Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких «бриллиантов короны» — основа эффективной стратегии защиты от киберугроз. Цифровая бизнес-модель, по сути, полностью зависит от доверия. Например, если взаимодействия с клиентами защищены слабо, то риск может стать существенным.

https://habr.com/ru/companies/owasp/articles/817241/

#appsec #owasp #samm #bsimm #devsecops #nist #csf

BSIMM: с чего начинается AppSec в компании

Безопасная разработка является неотъемлемой частью непростого пути к безопасности приложений. И у всех руководителей и лидов R&D, кто задумывается о построении у себя AppSec, возникает вопрос — с чего же начать? А начать нужно с организации процессов: определить положение дел, понять, какие активности необходимо внедрить, какие оптимизировать, а какие убрать. В общем, оценить зрелость текущих процессов безопасной разработки и обозначить дальнейшие шаги в светлое AppSec-будущее компании. И тут на помощь нам приходят фреймворки по безопасной разработке. Итак, приступим

https://habr.com/ru/companies/pt/articles/805395/

#BSIMM #appsec #методология #cybersecurity #безопасная_разработка #devsecops #приложения #консалтинг #фреймворк #управление_разработкой

Here’s a nice write up of the extremely serious, talented, multi-year attack that almost was successful and devastating but for a random dude (Yay, Andres, we do owe you free 🍺 for life) who said, “Huh, that’s strange….”

There are well-funded, aggressive attacks on the entire open source ecosystem. Collective benefit requires collective effort. The difference is you’re paying a marginal cost.

“Many eyes” only works sometimes if we’re lucky.

#oss #bsimm #xz #sshd

https://doublepulsar.com/inside-the-failed-attempt-to-backdoor-ssh-globally-that-got-caught-by-chance-bbfe628fafdd

Have you ever used #BSIMM in your organization? What are your experiences? Do you do them per team, per department, or once for the company? #infosec #appsec