Porozmawiajmy o IT: Bezpiecze艅stwo Aplikacji

R贸wno tydzie艅 temu mia艂a miejsce premiera 95 odcinka podkastu Porozmawiajmy o IT, kt贸ry dla mnie osobi艣cie jest odcinkiem specjalnym.

POIT s艂ucham od pocz膮tku. R贸wnie偶 od pocz膮tku trzymam kciuki za Krzysztofa, bo wiem ile wysi艂ku kosztuje produkcja materia艂贸w i ci膮g艂臋 dowo偶enie, a Krzysztof dowozi jak w zegarku od lat! I przyznam si臋, 偶e jest mi niezmiernie mi艂o poniewa偶 w ko艅cu mog艂em do艂o偶y膰 swoj膮 cegie艂k臋 do tego show jako go艣膰. Co wi臋cej, zd膮偶y艂em przed pierwsz膮 setk膮. Achievement unlocked! 馃挭

Co do samej rozmowy 鈥 wysz艂o sporo bo prawie p贸艂torej godziny, ale warto ods艂ucha膰 o czym najlepiej 艣wiadczy multum prywatnych komentarzy, kt贸re dosta艂em na przestrzeni ostatniego tygodnia. U艣wiadcza mnie to w przekonaniu, 偶e w odcinku jest sporo faktycznego (a nie wyimaginowanego!) mi臋sa. Na dodatek materia艂 wychodzi poza bezpiecze艅stwo aplikacji wi臋c tym bardziej sk艂aniam si臋 ku opinii, 偶e ka偶dy s艂uchacz co艣 warto艣ciowego z tej dyskusji wyniesie. Koniec s艂odzenia, po prostu serdecznie polecam!

Standardowo ods艂ucha膰 mo偶na na oficjalnej stronie oraz we wszystkich wi臋kszych platformach podkastowych: iTunes, Spotify i Google Podcasts.

Dev Session: Bezpiecze艅stwo Aplikacji

Kolejny miesi膮c, kolejne go艣cinne wyst膮pienie w podka艣cie. Tym razem w ramach Dev Session rozmawia艂em z Grzegorzem Kotfisem o 鈥jak偶e by inaczej鈥 AppSecu, czyli bezpiecze艅stwie aplikacji. 馃榿

W tym odcinku poruszyli艣my wiele w膮tk贸w, mi臋dzy innymi:

  • Czym jest bezpiecze艅stwo aplikacji (AppSec)?
  • Jak膮 rol臋 pe艂ni AppSec w dzisiejszym procesie wytwarzania oprogramowania?
  • Jakie wyr贸偶nia si臋 rodzaje oceny bezpiecze艅stwa oraz czemu sama ocena podatno艣ci nie wystarczy i czemu bezpiecze艅stwo musi by膰 wbudowane w proces wytw贸rczy?

Zach臋cam do przes艂uchania czy to poprzez oficjaln膮 stron臋 czy ulubion膮 platform臋 podkastow膮 (iTunes, Spotify i Google Podcasts).

Konferencja CLICK 2020

W zesz艂膮 sobot臋 mia艂em przyjemno艣膰 uczestniczy膰 w konferencji CLICK 2020. Zarejestrowanych uczestnik贸w by艂o ponad 2500, a wi臋c skala wydarzenia do艣膰 spora.

Odno艣nie mojej prezentacji to ostatni raz przedstawi艂em „DevSecOps: Bohater, kt贸rego potrzebujemy!”. Posz艂o jako-tako, ale robi膮c og贸lny rozrachunek to nie jestem zadowolony z tego tematu. Za ka偶dym razem trudno by艂o mi wyci膮gn膮膰 esencj臋 na wierzch przez co dla s艂uchacza cz臋艣膰 o kulturze mo偶e by膰 zbyt chaotyczna (np. prezentacj臋 z SecOps Meetup, gdzie om贸wi艂em jedynie automatyzacj臋 oceniam du偶o lepiej). Iterate upon success.

Nagranie mo偶na obejrze膰 tutaj. W sekcji Q/A odpowiedzia艂em na dwa pytania:

  1. „Jak okre艣li膰 odpowiedni moment na wykonanie test贸w penetracyjnych. Ju偶 kilka razy dosta艂em w pracy feedback, 偶e nie mog臋 tego robi膰 za wcze艣nie.”
  2. „Jak najpro艣ciej wyt艂umaczy膰 r贸偶nice pomi臋dzy podej艣ciem black-box i white-box?”

W zasadzie powy偶sze w膮tki mia艂em ju偶 wcze艣niej wpisane w plan nagrywek do Cyberiady i to pokazuje, 偶e powinienem si臋 bardziej spi膮膰 i to w ko艅cu wyprodukowa膰. Stay tuned! 鉁岋笍

Akademia Bezpiecznego Kodu v1

Trzeci kwarta艂 dobieg艂 ko艅ca, a wraz z nim zako艅czy艂a si臋 pierwsza edycja Akademii Bezpiecznego Kodu. W zasadzie ledwo si臋 obr贸ci艂em i jest koniec lata. 馃槄

Roboty by艂o du偶o (trzynastotygodniowy maraton), ale jestem dumny z efektu ko艅cowego. Jak to wygl膮da艂o? Z w艂asnego wyboru ca艂a produkcja by艂a w moich r臋kach. Od pracy nad materia艂em, przez nagrywanie i monta偶, a偶 po publikacj臋 na w艂asnej platformie szkoleniowej. Wszystko zrobi艂em sam jak ta przys艂owiowa Zosia-samosia (pomog艂o mi do艣wiadczenie fotograficzne), ale dzi臋ki temu sporo si臋 nauczy艂em i przysz艂e modu艂y 鈥攋ak i retusz obecnych鈥 wyjd膮 na tym tylko na plus.

U艣redniaj膮c produkcja pojedynczego modu艂u zaj臋艂a 16 godzin, czyli 艂膮cznie po艣wi臋ci艂em na ten projekt 208 godzin co przek艂ada si臋 na 26 dni roboczych. Wi臋kszo艣膰 modu艂贸w uda艂o mi si臋 dowie藕膰 na czas (kolejne modu艂y wychodzi艂y w poniedzia艂ki), te kt贸rych si臋 nie uda艂o mia艂y obsuw臋 1-2 dni.

W pierwszej edycji Akademii om贸wi艂em:

  • Standardy i metodologie (CWE Top 25, WSTG, ASVS, SAMM, BSIMM)
  • Infrastruktur臋 (nmap, nikto, OpenVAS, Nessus, WAF, tcpdump i Wireshark)
  • Ca艂o艣膰 OWASP Top 10 2017 oraz A8 (CSRF) i A10 (Open Redirect) z OWASP Top 10 2013
  • Automatyzacj臋 (SAST, Sekrety, SCA, SBOM, DAST)
  • Raportowanie (CVSS, CVE, DREAD)

Oczywi艣cie to tylko wycinek temat贸w. Pe艂na agenda kursu jest dost臋pna na stronie Akademii.

W finalnym rozliczeniu pierwsza edycja Akademii Bezpiecznego Kodu to 13 modu艂贸w sk艂adaj膮cych si臋 z 209 lekcji wideo, kt贸re 艂膮cznie trwaj膮 ponad 16 godzin. Ju偶 teraz jest to najbardziej kompleksowe szkolenie z tematu bezpiecze艅stwa web aplikacji dost臋pne na rynku… a to dopiero pocz膮tek bo w kolejnych edycjach materia艂u b臋dzie jeszcze wi臋cej.

Pi膮teczka! 鉁

P.S. Druga edycja Akademii nadejdzie p贸藕n膮 jesieni膮, 偶eby otrzyma膰 powiadomienie zapisz si臋 na mailing tutaj albo poni偶ej!

Lean QA S02E09: Ten o DevSecOps

Wczoraj ukaza艂 si臋 najnowszy odcinek podkastu Lean QA, w kt贸rym mia艂em przyjemno艣膰 porozmawia膰 z Wojciechem Gawro艅skim o DevSecOps i w膮tkach wok贸艂. Na temat bezpiecze艅stwa aplikacji mog臋 rozmawia膰 w niesko艅czono艣膰, na szcz臋艣cie Wojtek trzyma艂 r臋k臋 na pulsie i wyrobili艣my si臋 w godzinie z hakiem.

Ods艂ucha膰 mo偶na na oficjalnej stronie oraz we wszystkich wi臋kszych platformach podkastowych (iTunes, Spotify i Google Podcasts).

Polecam! 馃槉