AppSec Journey

2023-03-06 17:32:01 Follow the money!

Или неуклонно растущее число атак на отрасль разработки игр. Знаете, на что тратится очень много денег? На то, что нам приятно, конечно же. А как приятно приодеть своего персонажа, вложить ему в руку не тот стремный ножик, а какой-нибудь Glock в обвесе или купить ему нормальный броник... Все эти микротранзакции приносят очень много, нет, ОЧЕНЬ МНОГО денег корпорациям. Activision Blizzard только за 1 месяц зарабатывает ~1,5 млрд долларов.

Можете себе представить, сколько денег будет в рынке где-то через 3 года? The BRC (почти как РБК, но нет, другие) прогнозируют до 110 млрд долларов по году.

Казалось бы, а кроме денег что интересно злоумышленникам? Дайте подумаю. Ах да, конфиденциальные данные, исходные коды (сколько раз уже сливали игры?), инженерные читы, продажа учеток... Могу еще идей накидать и повыпендриваться цифрами, но лучше самим все увидеть, не так ли? Открыть/Комментировать

2023-03-06 15:40:36 Безопасная разработка - это дорого.

Да, действительно, инструменты, особенно хорошие, стоят денег. Opensource, который будет работать с вашей кодовой базой и несильно фолзить - требует ресурсов, которые тоже, представляете, стоят денег.
Изменение процесса разработки, первичное увеличение TTM, дополнительные роли, время на разбор дефектов... Могу еще продолжать список.

А знаете, что еще стоит денег?
Пентесты, которые вы делаете, когда приложение уже в проде. Трудозатраты на устранение (зачастую, экстренное) уязвимостей, которые нашлись в результате пентеста.
Проэксплуатированные уязвимости, которые вы не нашли. Точнее, которые нашли не вы.
Исправление архитектурных паттернов или замена уязвимого компонента, которые вы вовремя не нашли.
Риски раскрытия конфиденциальной информации.
Репутационные издержки, освещение инцидента в СМИ, снижение доверия...


Безопасная разработка - это дорого?.. Открыть/Комментировать

2023-03-06 09:01:02 Как управлять риском в Appsec?

За громким заголовком прячется обычный перечень проверок в SSDLC. Но все же неплохой материал от Synopsys, за исключением, конечно рекламки на последних страницах Открыть/Комментировать

2023-03-05 13:05:31 Иногда не стоит выходить из матрицы Открыть/Комментировать

2023-03-04 14:25:41 Открыть/Комментировать

2023-03-04 12:55:44 Не забывайте, что надо отдыхать;-)
Хороших выходных Открыть/Комментировать

2023-03-03 19:12:16 Открыть/Комментировать

2023-03-03 18:45:37 Когда спрашиваешь у техподдержки, когда пришлют лицензию: Открыть/Комментировать

2023-03-03 17:27:06 Эх, учитывая, что достойного инструмента для тестирования API пока нет, предлагаю довольствоваться бумажным пособием, как сделать апишку чуть более секьюрной.

P.S. О, да, я знаю что есть RASP'ы.
P.P.S. Про Waratek я тоже знаю.

#guides Открыть/Комментировать

2023-03-03 08:16:01 Наглядное отображение Shift Everywhere. Инструменты и практики повторяются на разных этапах.

Не перестаю говорить о том, что приложение завтра будет таким же защищенным, как и сегодня, поэтому лучше перестраховаться.

#МыслиСветы Открыть/Комментировать