SlideShare una empresa de Scribd logo

Построение Secure Development Lifecycle

Vlad Styran
Vlad Styran

Построение Secure Development Lifecycle

Tecnología
1 de 25
Descargar para leer sin conexión
Построение Secure Development Lifecycle ! Владимир Стыран, БМС Консалтинг
Кто эти люди?.. • БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
Что у нас позади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
Наши впечатления • Типы граблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
Угрозы и стек технологий
Какие варианты? • Борьба за безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
Secure Development Lifecycle • “Изобретен” Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
Плоды SDL
Плоды SDL
Этапы SDL • Обучение • Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
Обучение • Разработка программы обучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
Требования • Утверждение требований безопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
Дизайн • Определение и документирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
Реализация • Использование техник безопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
Проверка • Переоценка модели угроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
Релиз • Создание плана реагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
Реагирование • Выполнение плана реагирования на инциденты, составленного на стадии релиза
SDL для Agile • Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
One-time • Из требований • Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
Every-sprint • Из дизайна • Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
Bucket • Из требований • Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
Ключевые концепции • Производство защищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
Gartner AST MQ Сегмент продуктов автоматизированного тестирования защищенности приложений в 2013 г.
Подведем итог • Угрозы двигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг
Спасибо за внимание! ! vladimir_styran@bms-consulting.com +380(67) 659 1342

Recomendados

Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 

Recomendados

Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыSelectedPresentations
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Кот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&AКот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&APositive Hack Days
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 

Más contenido relacionado

La actualidad más candente

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыSelectedPresentations
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...DLP-Эксперт
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемSelectedPresentations
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...SelectedPresentations
 
Кот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&AКот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&APositive Hack Days
 

La actualidad más candente (20)

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертах
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Практический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системыПрактический опыт реализации собственной антифрод системы
Практический опыт реализации собственной антифрод системы
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
Психология внедрения нового. Правила общения с руководителями бизнеса при вне...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
Семь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяемСемь лет поиска. Что, как и зачем мы проверяем
Семь лет поиска. Что, как и зачем мы проверяем
 
Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...Целевое управление доступом в сети. Техническое решение для финансовых органи...
Целевое управление доступом в сети. Техническое решение для финансовых органи...
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
 
Кот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&AКот в мешке: вопросы безопасности при M&A
Кот в мешке: вопросы безопасности при M&A
 

Destacado

Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеровVlad Styran
 
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
SQADays19 - 50 Слайдов для повышения безопасности вашего сервисаSQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
SQADays19 - 50 Слайдов для повышения безопасности вашего сервисаKonstantin Zavarov, ICP
 
Secure Code Reviews
Secure Code ReviewsSecure Code Reviews
Secure Code ReviewsMarco Morana
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
SECON'2016. Бушмелев Юрий, Два титановых шарика
SECON'2016. Бушмелев Юрий, Два титановых шарикаSECON'2016. Бушмелев Юрий, Два титановых шарика
SECON'2016. Бушмелев Юрий, Два титановых шарикаSECON
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуPositive Development User Group
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Secure code
Secure codeSecure code
Secure codeddeogun
 
Dynamic PHP web-application analysis
Dynamic PHP web-application analysisDynamic PHP web-application analysis
Dynamic PHP web-application analysisax330d
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииSQALab
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 

Destacado (20)

Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБ
 
правда про ложь
правда про ложьправда про ложь
правда про ложь
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженера
 
Социальная инженерия для инженеров
Социальная инженерия для инженеровСоциальная инженерия для инженеров
Социальная инженерия для инженеров
 
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
SQADays19 - 50 Слайдов для повышения безопасности вашего сервисаSQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
SQADays19 - 50 Слайдов для повышения безопасности вашего сервиса
 
Secure Code Reviews
Secure Code ReviewsSecure Code Reviews
Secure Code Reviews
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINT
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
SECON'2016. Бушмелев Юрий, Два титановых шарика
SECON'2016. Бушмелев Юрий, Два титановых шарикаSECON'2016. Бушмелев Юрий, Два титановых шарика
SECON'2016. Бушмелев Юрий, Два титановых шарика
 
Подходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализуПодходы к сигнатурному статическому анализу
Подходы к сигнатурному статическому анализу
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Code review psyhology
Code review psyhologyCode review psyhology
Code review psyhology
 
Secure code
Secure codeSecure code
Secure code
 
Dynamic PHP web-application analysis
Dynamic PHP web-application analysisDynamic PHP web-application analysis
Dynamic PHP web-application analysis
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review Process
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 
Secure Code Review 101
Secure Code Review 101Secure Code Review 101
Secure Code Review 101
 

Similar a Построение Secure Development Lifecycle

Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivationbeched
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложенийSQALab
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
TК°Conf. Организация разработки Frontend. Виталий Слободин.
TК°Conf. Организация разработки Frontend. Виталий Слободин.TК°Conf. Организация разработки Frontend. Виталий Слободин.
TК°Conf. Организация разработки Frontend. Виталий Слободин.TKConf
 

Similar a Построение Secure Development Lifecycle (20)

Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложений
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
TК°Conf. Организация разработки Frontend. Виталий Слободин.
TК°Conf. Организация разработки Frontend. Виталий Слободин.TК°Conf. Организация разработки Frontend. Виталий Слободин.
TК°Conf. Организация разработки Frontend. Виталий Слободин.
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 

Más de Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

Más de Vlad Styran (15)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-Шмібер
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

Построение Secure Development Lifecycle

  • 2. Кто эти люди?.. • БМС Консалтинг • Мы делаем пентесты, много и часто • Black Box, Grey Box, социальная инженерия… • АБС, ДБО, биллинг, инфраструктура, веб- и прочие приложения • “Apparently, if you can test pens, you can test everything.” - H.D. Moore
  • 3. Что у нас позади • Мы видим “картинку” снаружи и она нас пугает • Domain Admin по внешнему вектору: 1 из 5-ти • Domain Admin по внутреннему вектору: 3 из 5-ти • В каждом “взрослом” пентесте: root, oracle, 100+ логинов/паролей пользователей, web shells…
  • 4. Наши впечатления • Типы граблей (по частоте обнаружения) • Bad/default/no credentials • Bad/no patch management • Passwords for candy • Application errors • Bad session management • Все остальные 17% 4% 13% 9% 22% 35%
  • 5. Угрозы и стек технологий
  • 6. Какие варианты? • Борьба за безопасность “готовой” системы - сизифов труд • Путь “Penetrate & Patch” ведет в никуда (хотя мы, конечно же, не против) • Пентесты покрывают чуть больше половины известных угроз • Infinity Maxim: There are an unlimited number of security vulnerabilities for a given security device, system, or program, most of which will never be discovered (by the good guys or bad guys). • Лучший способ избавиться от уязвимости - не дать ей возникнуть • “Идеальный” план: построение полноценного процесса Secure Development Lifecycle
  • 7. Secure Development Lifecycle • “Изобретен” Microsoft под давлением сообщества • Включает ряд организационных и технических процессов • И средства их автоматизации
  • 10. Этапы SDL • Обучение • Требования • Дизайн • Реализация • Проверка • Релиз • Реагирование vs. Чик-чик и в продакшн!
  • 11. Обучение • Разработка программы обучения • “Внешние” условия: требования, стандарты, законодательство • Методики и технологии разработки • Обучение команды и оценка результатов • Метрики/критерии обучения • Минимальная частота тренингов (на реже N раз в год) • Минимальный групповой порог подготовки (не мнее 80% команды) • Актуализация программы
  • 12. Требования • Утверждение требований безопасности до начала проекта • Внешние (PCI, PII, HIPPA…) и внутренние (оценка рисков) факторы • Требования безопасности (т.н. негативные требования) устанавливают, документируют (и тестируют) так же, как позитивные требования к функционалу • Минимальные требования безопасности (в терминах пороговых значений качества) • Назначение аналитика по безопасности
  • 13. Дизайн • Определение и документирование архитектуры безопасности и механизмов защиты • Использование техник безопасного дизайна: многослойность защиты, управление версиями, принцип наименьших привилегий, оценка рисков • Моделирование угроз в контексте дизайна проекта, выполняемых функций, обрабатываемых данных, размещения в инфраструктуре, уникальных особенностей • Минимизация угроз и рисков путем сужения “поверхности атаки”
  • 14. Реализация • Использование техник безопасного кодирования: проверка ввода, экранирование символов, параметризация запросов… • Статический анализ по мере готовности исходного кода • Реакция на уязвимости: исправление, документирование • Использование одобренных инструментов и параметров редактирования, контроля версий, сборки • Использование средств ОС: ASLR, DEP, SElinux, apparmor… • Отказ от незащищенных и устаревших библиотек, API, криптографических алгоритмов • Особое внимание к онлайн-сервисам: XSS, SQLi…
  • 15. Проверка • Переоценка модели угроз с учетом проделанной работы • Пересмотр дизайна с учетом новых угроз (изменение “поверхности атаки”) • Тестирование негативных требований • Динамический анализ по мере готовности объектного кода • Фаззинг, брут, стресс-тесты и прочее для файлового и пользовательского ввода, API, сетевых подключений и т.д. • Упор на анализ защищенности кода и тестирование безопасности • Специфические тесты для онлайн-сервисов • Реакция на уязвимости: исправление, документирование
  • 16. Релиз • Создание плана реагирования на инциденты и уязвимости, обнаруживаемые в системе • Обеспечение возможности выпуска исправлений безопасности • Финальная оценка защищенности • Принятие/отклонение релиза • Архивирование проекта • Обновление документации • Сохранение исходного кода для потомков (code escrow)
  • 17. Реагирование • Выполнение плана реагирования на инциденты, составленного на стадии релиза
  • 18. SDL для Agile • Вернемся в реальность: по “классическому” SDLC уже никто не работает • В Agile SDL практики классифицированы не по этапам SDLC, а по частоте выполнения • Every-sprint: самые важные, повторять для каждого релиза • One-time: менее критичные, выполнять одноразово • Bucket: все остальные, выполнять по мере надобности
  • 19. One-time • Из требований • Требования безопасности • Оценка рисков • Из дизайна • Требования к дизайну • Сужение поверхности атаки • Из релиза • Создание плана реагирования
  • 20. Every-sprint • Из дизайна • Моделирование угроз • Из реализации • Использование одобренных инструментов • Отказ от старого хлама (API, библиотеки и т.д.) • Статический анализ кода • Из релиза • Финальная оценка защищенности, принятие и архивирование
  • 21. Bucket • Из требований • Минимальные требования безопасности • Из проверки • Динамический анализ приложения • Фаззинг и прочие издевательства • Пересмотр модели угроз и “поверхности” атаки
  • 22. Ключевые концепции • Производство защищенного кода требует усовершенствования процессов разработки • Один лишь поиск багов не делает софт безопаснее • Риски это проблема менеджера, а не разработчика • Постоянный пересмотр процессов SDL • Непрерывное обучение, культура безопасности • Инструменты и автоматизация • Поощрение и последствия
  • 24. Подведем итог • Угрозы двигаются на уровень приложений • Сегмент инструментов автоматизации созрел • SDL внедряет безопасность в процессы и культуру разработки • Результаты измеримы и впечатляют • SDL Agile-у не враг