Porozmawiajmy o IT: Bezpieczeństwo Aplikacji

Równo tydzień temu miała miejsce premiera 95 odcinka podkastu Porozmawiajmy o IT, który dla mnie osobiście jest odcinkiem specjalnym.

POIT słucham od początku. Również od początku trzymam kciuki za Krzysztofa, bo wiem ile wysiłku kosztuje produkcja materiałów i ciągłę dowożenie, a Krzysztof dowozi jak w zegarku od lat! I przyznam się, że jest mi niezmiernie miło ponieważ w końcu mogłem dołożyć swoją cegiełkę do tego show jako gość. Co więcej, zdążyłem przed pierwszą setką. Achievement unlocked! 💪

Co do samej rozmowy — wyszło sporo bo prawie półtorej godziny, ale warto odsłuchać o czym najlepiej świadczy multum prywatnych komentarzy, które dostałem na przestrzeni ostatniego tygodnia. Uświadcza mnie to w przekonaniu, że w odcinku jest sporo faktycznego (a nie wyimaginowanego!) mięsa. Na dodatek materiał wychodzi poza bezpieczeństwo aplikacji więc tym bardziej skłaniam się ku opinii, że każdy słuchacz coś wartościowego z tej dyskusji wyniesie. Koniec słodzenia, po prostu serdecznie polecam!

Standardowo odsłuchać można na oficjalnej stronie oraz we wszystkich większych platformach podkastowych: iTunes, Spotify i Google Podcasts.

Dev Session: Bezpieczeństwo Aplikacji

Kolejny miesiąc, kolejne gościnne wystąpienie w podkaście. Tym razem w ramach Dev Session rozmawiałem z Grzegorzem Kotfisem o —jakże by inaczej— AppSecu, czyli bezpieczeństwie aplikacji. 😁

W tym odcinku poruszyliśmy wiele wątków, między innymi:

  • Czym jest bezpieczeństwo aplikacji (AppSec)?
  • Jaką rolę pełni AppSec w dzisiejszym procesie wytwarzania oprogramowania?
  • Jakie wyróżnia się rodzaje oceny bezpieczeństwa oraz czemu sama ocena podatności nie wystarczy i czemu bezpieczeństwo musi być wbudowane w proces wytwórczy?

Zachęcam do przesłuchania czy to poprzez oficjalną stronę czy ulubioną platformę podkastową (iTunes, Spotify i Google Podcasts).

Konferencja CLICK 2020

W zeszłą sobotę miałem przyjemność uczestniczyć w konferencji CLICK 2020. Zarejestrowanych uczestników było ponad 2500, a więc skala wydarzenia dość spora.

Odnośnie mojej prezentacji to ostatni raz przedstawiłem „DevSecOps: Bohater, którego potrzebujemy!”. Poszło jako-tako, ale robiąc ogólny rozrachunek to nie jestem zadowolony z tego tematu. Za każdym razem trudno było mi wyciągnąć esencję na wierzch przez co dla słuchacza część o kulturze może być zbyt chaotyczna (np. prezentację z SecOps Meetup, gdzie omówiłem jedynie automatyzację oceniam dużo lepiej). Iterate upon success.

Nagranie można obejrzeć tutaj. W sekcji Q/A odpowiedziałem na dwa pytania:

  1. „Jak określić odpowiedni moment na wykonanie testów penetracyjnych. Już kilka razy dostałem w pracy feedback, że nie mogę tego robić za wcześnie.”
  2. „Jak najprościej wytłumaczyć różnice pomiędzy podejściem black-box i white-box?”

W zasadzie powyższe wątki miałem już wcześniej wpisane w plan nagrywek do Cyberiady i to pokazuje, że powinienem się bardziej spiąć i to w końcu wyprodukować. Stay tuned! ✌️

Akademia Bezpiecznego Kodu v1

Trzeci kwartał dobiegł końca, a wraz z nim zakończyła się pierwsza edycja Akademii Bezpiecznego Kodu. W zasadzie ledwo się obróciłem i jest koniec lata. 😅

Roboty było dużo (trzynastotygodniowy maraton), ale jestem dumny z efektu końcowego. Jak to wyglądało? Z własnego wyboru cała produkcja była w moich rękach. Od pracy nad materiałem, przez nagrywanie i montaż, aż po publikację na własnej platformie szkoleniowej. Wszystko zrobiłem sam jak ta przysłowiowa Zosia-samosia (pomogło mi doświadczenie fotograficzne), ale dzięki temu sporo się nauczyłem i przyszłe moduły —jak i retusz obecnych— wyjdą na tym tylko na plus.

Uśredniając produkcja pojedynczego modułu zajęła 16 godzin, czyli łącznie poświęciłem na ten projekt 208 godzin co przekłada się na 26 dni roboczych. Większość modułów udało mi się dowieźć na czas (kolejne moduły wychodziły w poniedziałki), te których się nie udało miały obsuwę 1-2 dni.

W pierwszej edycji Akademii omówiłem:

  • Standardy i metodologie (CWE Top 25, WSTG, ASVS, SAMM, BSIMM)
  • Infrastrukturę (nmap, nikto, OpenVAS, Nessus, WAF, tcpdump i Wireshark)
  • Całość OWASP Top 10 2017 oraz A8 (CSRF) i A10 (Open Redirect) z OWASP Top 10 2013
  • Automatyzację (SAST, Sekrety, SCA, SBOM, DAST)
  • Raportowanie (CVSS, CVE, DREAD)

Oczywiście to tylko wycinek tematów. Pełna agenda kursu jest dostępna na stronie Akademii.

W finalnym rozliczeniu pierwsza edycja Akademii Bezpiecznego Kodu to 13 modułów składających się z 209 lekcji wideo, które łącznie trwają ponad 16 godzin. Już teraz jest to najbardziej kompleksowe szkolenie z tematu bezpieczeństwa web aplikacji dostępne na rynku… a to dopiero początek bo w kolejnych edycjach materiału będzie jeszcze więcej.

Piąteczka! ✋

P.S. Druga edycja Akademii nadejdzie późną jesienią, żeby otrzymać powiadomienie zapisz się na mailing tutaj albo poniżej!

Lean QA S02E09: Ten o DevSecOps

Wczoraj ukazał się najnowszy odcinek podkastu Lean QA, w którym miałem przyjemność porozmawiać z Wojciechem Gawrońskim o DevSecOps i wątkach wokół. Na temat bezpieczeństwa aplikacji mogę rozmawiać w nieskończoność, na szczęście Wojtek trzymał rękę na pulsie i wyrobiliśmy się w godzinie z hakiem.

Odsłuchać można na oficjalnej stronie oraz we wszystkich większych platformach podkastowych (iTunes, Spotify i Google Podcasts).

Polecam! 😊