SDLC
В заключительной, 4-й части рассказа о конференции ФСТЭК, я коснусь последних двух вопросов, которые находятся в прицеле ФСТЭК, — виртуализации и безопасности программировании. Первую тему на конференции очень неплохо осветил Крафтвей, рассказав о существующих угрозах и закладках на аппаратном уровне и способах борьбы с ними, сделав акцент на технологии Secure Boot (UEFI).
Международная ИБ
Безопасника от журналиста, падкого на сенсации, отличает здравый смысл и взвешенная позиция. Именно так я хотел бы посмотреть на последние «разоблачения Сноудена», описанные в немецком «Шпигеле» в конце прошлого года и которые стали активно обсуждать именно сейчас. Что мы узнаем из этих материалов? В 2007-м году у АНБ был «
Бизнес
О программах Bug Bounty слышали многие. Это программа финансового вознаграждения, получаемого независимыми исследователями, находящими уязвимости в программном обеспечении того или иного производителя. Такие программы есть у многих компаний — Facebook, Microsoft, Google, Avast, PayPal, Mozilla, Qiwi, Yandex. И это только верхушка айсберга —
Законодательство
Вчера под вечер ФСТЭК опубликовала информационное сообщение о том, как следует читать отдельные фрагменты 17-го и 21-го приказа, устанавливающие требования по защите персональных данных и государственных информационных систем. Я не буду пересказывать само сообщение ФСТЭК (оно достаточно понятно написано), а просто перечислю те вопросы, на которые оно
Про SDLC я писал неоднократно. И про повышение осведомленности тоже. И вот решил совместить 😉 Выложу несколько наших плакатов, которые направлены на формирование у разработчиков правильных мыслей о безопасном ПО.
Угрозы
Недавно я писал про недекларированные возможности. Заметка была связана со сложностями в проведении оценки отсутствия недекларированных возможностей для продукции американского происхождения. До этого были и еще записи (тут, тут и тут). На мой взгляд, сейчас назрела необходимость пересмотра этого устаревшего подхода к поиску недокументированных возможностей
Международная ИБ
Вчера на РусКрипто делал презентацию по обеспечению качества ПО с точки зрения ИБ и международного опыта. Учитывая выделенных 12 минут на доклад, особо много не писал — скорее пробежался по опыту ведущих ИТ-компаний, занимающихся данной задачей. Обеспечение качества ПО: международный опыт from Alexey Lukatsky
Разное
К теме анализа качества кода я уже обращался неоднократно и буду и дальше эту тему поднимать. Но все это эпизодические вкрапления, несвязанные в единое целое. Как должен выглядеть процесс создания качественного кода у разработчика или у потребителя, имеющего собственное подразделение по разработке? Картинка достаточно «
Законодательство
Анализ качества кода на Уральском форуме в Магнитогорске стал одной из самых актуальных тем — ему было посвящено целых 3 доклада и отдельные высказывания представителей ГУБиЗИ и ДРР Банка России. С точки зрения здравого смысла очевидно, что анализировать качество кода нужно. Это повышает стабильность, надежность и защищенность готового продукта.
Законодательство
Об анализе кода я писал не раз и даже спрогнозировал в конце прошлого года, что тема эта поднимется с колен и начнет свое победное шествие по миру. И дело даже не в том, что по другому очень сложно бороться с НДВ, которое так необдуманно было вставлено в ПП-1119, а в том, что этого требует современное […]