Porozmawiajmy o IT: Bezpieczeństwo Aplikacji

Równo tydzień temu miała miejsce premiera 95 odcinka podkastu Porozmawiajmy o IT, który dla mnie osobiście jest odcinkiem specjalnym.

POIT słucham od początku. Również od początku trzymam kciuki za Krzysztofa, bo wiem ile wysiłku kosztuje produkcja materiałów i ciągłę dowożenie, a Krzysztof dowozi jak w zegarku od lat! I przyznam się, że jest mi niezmiernie miło ponieważ w końcu mogłem dołożyć swoją cegiełkę do tego show jako gość. Co więcej, zdążyłem przed pierwszą setką. Achievement unlocked! 💪

Co do samej rozmowy — wyszło sporo bo prawie półtorej godziny, ale warto odsłuchać o czym najlepiej świadczy multum prywatnych komentarzy, które dostałem na przestrzeni ostatniego tygodnia. Uświadcza mnie to w przekonaniu, że w odcinku jest sporo faktycznego (a nie wyimaginowanego!) mięsa. Na dodatek materiał wychodzi poza bezpieczeństwo aplikacji więc tym bardziej skłaniam się ku opinii, że każdy słuchacz coś wartościowego z tej dyskusji wyniesie. Koniec słodzenia, po prostu serdecznie polecam!

Standardowo odsłuchać można na oficjalnej stronie oraz we wszystkich większych platformach podkastowych: iTunes, Spotify i Google Podcasts.

Dev Session: Bezpieczeństwo Aplikacji

Kolejny miesiąc, kolejne gościnne wystąpienie w podkaście. Tym razem w ramach Dev Session rozmawiałem z Grzegorzem Kotfisem o —jakże by inaczej— AppSecu, czyli bezpieczeństwie aplikacji. 😁

W tym odcinku poruszyliśmy wiele wątków, między innymi:

  • Czym jest bezpieczeństwo aplikacji (AppSec)?
  • Jaką rolę pełni AppSec w dzisiejszym procesie wytwarzania oprogramowania?
  • Jakie wyróżnia się rodzaje oceny bezpieczeństwa oraz czemu sama ocena podatności nie wystarczy i czemu bezpieczeństwo musi być wbudowane w proces wytwórczy?

Zachęcam do przesłuchania czy to poprzez oficjalną stronę czy ulubioną platformę podkastową (iTunes, Spotify i Google Podcasts).

Konferencja CLICK 2020

W zeszłą sobotę miałem przyjemność uczestniczyć w konferencji CLICK 2020. Zarejestrowanych uczestników było ponad 2500, a więc skala wydarzenia dość spora.

Odnośnie mojej prezentacji to ostatni raz przedstawiłem „DevSecOps: Bohater, którego potrzebujemy!”. Poszło jako-tako, ale robiąc ogólny rozrachunek to nie jestem zadowolony z tego tematu. Za każdym razem trudno było mi wyciągnąć esencję na wierzch przez co dla słuchacza część o kulturze może być zbyt chaotyczna (np. prezentację z SecOps Meetup, gdzie omówiłem jedynie automatyzację oceniam dużo lepiej). Iterate upon success.

Nagranie można obejrzeć tutaj. W sekcji Q/A odpowiedziałem na dwa pytania:

  1. „Jak określić odpowiedni moment na wykonanie testów penetracyjnych. Już kilka razy dostałem w pracy feedback, że nie mogę tego robić za wcześnie.”
  2. „Jak najprościej wytłumaczyć różnice pomiędzy podejściem black-box i white-box?”

W zasadzie powyższe wątki miałem już wcześniej wpisane w plan nagrywek do Cyberiady i to pokazuje, że powinienem się bardziej spiąć i to w końcu wyprodukować. Stay tuned! ✌️

Lean QA S02E09: Ten o DevSecOps

Wczoraj ukazał się najnowszy odcinek podkastu Lean QA, w którym miałem przyjemność porozmawiać z Wojciechem Gawrońskim o DevSecOps i wątkach wokół. Na temat bezpieczeństwa aplikacji mogę rozmawiać w nieskończoność, na szczęście Wojtek trzymał rękę na pulsie i wyrobiliśmy się w godzinie z hakiem.

Odsłuchać można na oficjalnej stronie oraz we wszystkich większych platformach podkastowych (iTunes, Spotify i Google Podcasts).

Polecam! 😊

SecOps Online MeetUp #5

Jeszcze w sierpniu wziąłem udział w wydarzeniu SecOps Online MeetUp #5, gdzie standardowo opowiedziałem co nieco o bezpieczeństwie aplikacji, DevSecOps oraz automatyzacji.

Poruszyłem również kwestię narzędzi, które można zapuścić na własne aplikacje żeby zobaczyć co w trawie piszczy.

Kilka dni temu dostałem link do nagrania na YouTube. Polecam. ✌️

BTW. Jako uzupełnienie zachęcam do ściągnięcia mojego darmowego e-booka DevSecOps: Podstawy Automatyzacji Bezpieczeństwa