Конференция завершена. Ждем вас на TechLead Conf в следующий раз!

Как построить security review, который приносит пользу и не тормозит разработку

Про security

Защита информации
Управление уязвимостями
Application security
Тестирование новых продуктов
Безопасность от планирования до эксплуатации
Атаки
Безопасность
Инфобезопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Компании часто обнаруживают необходимость внедрить security review, когда MVP уже готов и процессы разработки сложились. С чего начать внедрение? Как сделать его не "для галочки"? Об этом и поговорим.

Целевая аудитория

* Техлиды, которым необходимо вставить проверки ИБ в цикл доставки продукта. * Тимлиды, которым нужно работать с осознанностью команд и повышать качество продукта (да-да, уязвимости — те же баги, которые могут стоить больше и умеют делать больно). * AppSec, DevSecOps, которые, собственно, руками и строят процессы security review.

Тезисы

В продуктовой разработке часто относятся к security review как к набору бумажек и лютой бюрократии. Однако, этот процесс становится очень важным на фоне множества событий о хакерских атаках на информационные системы.

Security review можно (и спойлер — нужно) делать не просто для галочки, а также можно делать без бюрократии и с адекватной оценкой рисков, которая не тормозит разработку.

Цель доклада — рассказать, как построить, в том числе и с нуля, современный и эффективный процесс security review продукта, а также поделиться опытом, как мы поддерживаем культуру ИБ в компании, которая позволяет не задерживать доставку и получать помощь команд разработки.

Application Security Lead.

Semrush

Semrush — это единая онлайн-платформа, которая позволяет специалистам по маркетингу создавать кампании во всех доступных каналах, управлять ими, измерять результат и улучшать онлайн-видимость своих товаров и услуг.

Видео