Сканирование на уязвимости и безопасная разработка. Часть 1

[kirillrst]

В статье идет речь о максимальной качественной безопасности разработки продукта, где риски взлома оцениваются миллионами, либо необратимой потерей репутации. То есть статья для тех, кто уже отстроил безопасность на хорошем уровне и думает как его повысить. А всех, кто только начал думать об ИБ, статья может отпугнуть.

Прошу не бояться ИБ и подходить к ней по «принципу Парето», о котором отлично рассказал Алексей Лукацкий в докладе "Принцип Парето в информационной безопасности".

Принцип прост – каждый шаг, значительно снижает риски взлома. Для безопасности разрабатываемого продукта я предлагаю ТОП-3:

1. Как и указал автор, устранить «недостаточную инвентаризацию», т.е. просто разобраться где, что лежит, что крутиться, какие компоненты задействованы в разработке и продакшн. В процессе может выяснится, что часть серверов, где можно найти исходники ранних версий продукта, давно заброшены и подвержены взлому.
2. Инвентаризация административных доступов и проверка репозиториев на предмет сохраненных ключей.
3. Сканирование любыми доступными вам сканерами уже отсекут львиную долю низкоквалифицированных злоумышленников, а вам даст уверенность, что у вас нет зияющих дыр и грубых ошибок конфигурирования.

Это уже значительно (с «нуля» до «сносно») повысит уровень защищенности вашего приложения. Но этого не достаточно, чтобы остановить квалифицированного хакера, которого наймет конкурент за $3-5k. Для повышения этой планки необходимо внедрять процессы описанные автором.

[evmenkov]

часть 2 отсутствует?

[Bo0oM]

Омар, когда уже будет вторая часть?