Стратегия
Cisco SecCon: постскриптум или почему так важен SDLC
026
Сегодня закончился второй день конференции SecCon, о которой я начал писать вчера. Основным лейтмотивом мероприятия была защита кода во всех ее проявлениях и на всех стадиях его жизненного цикла — начиная от разработки и тестирования и заканчивая обучением специалистов. При этом, как я уже писал, хотя мероприятия было рассчитано на сотрудников
Бизнес без опасности
Разное
НДВ, SDLC, fuzzing и всякое такое
3319
Нахожусь я сейчас на ежегодной конференции Cisco SecCon 2012, которая как и всегда посвящена совершенно различным аспектам обеспечения информационной безопасности. О прошлогодней конференции я уже писал; теперь обращусь к тому, что говорилось на этой (в первый день).Тон задала Reeny Sondhi (фиг знает, как индийские имена переводятся на русский), директор
Бизнес без опасности
Угрозы
Как бороться с угрозами НДВ?
87220
Давайте попробуем поразмышлять. Как можно бороться с угрозами недекларированных возможностей на уровне прикладного и системного ПО? Я вижу несколько вариантов: внедрение приемов «защищенного» программирования (SDLC) проверка исходных кодов на предмет НДВ с помощью автоматизированных инструментов (Appercut, Fortify или отечественные сканеры
Бизнес без опасности
Технологии
Анализировать код на предмет его безопасности выгодно?!
3228
После появления на pastebin сообщения о взломе одного российского VPN-продукта у нас Женей Родыгиным завязалась дискуссия на тему недостатков отечественной системы сертификации средств защиты. Но поскольку опыт у нас разный, то и к выводам мы пришли разным. Я сторонник мысли о том, что система сертификации, которая не проверяет работоспособность продукта
Бизнес без опасности
Законодательство
Требования к разработчикам ДБО
211
В последнее время сдвинулся с мертвой точки такой непростой вопрос, как установка требований по безопасности не только для разработчиков средств защиты, но и для разработчиков прикладных систем, в частности систем ДБО. Об этом активно говорили на Магнитогорской конференции, называя низкую защищенность систем ДБО одной из ключевых причин хищений средств со счетов клиентов.
Бизнес без опасности
Стратегия
Безопасность Web-приложений по версии ISACA
07
ISACA выпустила новый документ по безопасности Web-приложений «Web Application Security: Business and Risk Considerations«. Как и многие другие документы ISACA этот на достаточно высоком уровне описывает риски и уязвимости Web-приложений, а также включает рекомендации по выстраиванию процесса защиты (включая этап создания кода) Web-приложений
Бизнес без опасности
Разное
Чужое ПО проверяют хуже своего
24
Не успела компания Veracode опубликовать свой отчет о состоянии защищенности программного обеспечения, как аналогичный отчет опубликовал другой игрок данного сегмента рынка — компания Coverity. 10 мая она выпустила отчет «Software Integrity Risk Report«. Основная мысль этого отчета — полученный из третьих рук исходный код не проверяется
Бизнес без опасности
Угрозы
60% всего ПО не соответствует требованиям ИБ
1013
Уж сколько раз твердили миру… что SDLC придуман не просто так и при написании ПО надо учитывать не только классические принципы программирования, но и учитывать вопросы безопасности. Причем с самого начала проекта, чтобы не латать дыры постфактум. На днях компания Veracode опубликовала свой очередной, уже третий отчет «
Бизнес без опасности