SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect

Рад представить вам 141-й выпуск подкаста, в котором речь вновь идёт про безопасность приложений. У меня в гостях Александр Герасимов, директор по информационной безопасности в компании Awillix и Сергей Овчинников, cloud security architect. В этом выпуске мы говорим о том, что же такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО, какие методы и подходы применяются в тех или иных случаях. Обсуждаем взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров. Обсуждаем различные подходы, приёмы и инструменты для непосредственно разработки безопасных приложений, такие как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять. Не обошли стороной тему кадров и знаний: обсудили где искать специалистов и как выращивать своих, где черпать знания и какие в принципе знания необходимы специалисту по информационной безопасности. В заключении выпуска немного подискутировали о будущем сферы информационной безопасности. Ссылки на ресурсы по темам выпуска: * Just Security ( Телеграм канал Александра про исследования, тренды и личный опыт в кибербезопасности. * ISO/IEC 27034-6 Information technology, Security techniques, Application security ( * CIS Benchmarks ( * CodeQL ( - code analysis engine developed by GitHub to automate security checks * Заметка «Hunting for XSS with CodeQL» ( * SonarQube ( Если кто-то его ещё не знает :) * “Software Bill of Materials” (SBOM) ( * Yandex talk from ZeroNights "Company wide SAST" ( * Bandit ( Helps to find common security issues in Python code * Owasp ZAP ( Dynamic Application Security Testing tool (DAST) * IAST Seeker ( * The Docker Bench for Security ( is a script that checks for dozens of common best-practices around deploying Docker * Kube-bench ( - Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark * Книга «Kubernetes Security» ( * RESTler for RESP API fuzzing ( * libFuzzer ( a library for coverage-guided fuzz testing * ClusterFuzz ( is a scalable fuzzing infrastructure that finds security and stability issues in software * OSS-Fuzz ( - continuous fuzzing for open source softwar * Microsoft Sentinel ( Next-generation security operations with cloud and AI * Книга «Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats» ( Понравился выпуск? — Поддержи подкаст на patreon.com/KSDaemon ( звёздочками в iTunes ( или своём подкаст-плеере, а так же ретвитом или постом! Заходи в телеграм-чат SDCast ( где можно обсудить выпуски, предложить гостей и высказать свои замечания и пожелания!

You can listen to SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect online on Radio and Podcast. Open the player on this page to stream the available audio.

SDCast #141: в гостях Александр Герасимов, директор по информационной безопасности в Awillix и Сергей Овчинников, cloud security architect is an episode from SDCast by Konstantin Burkalev.

This episode is 02:01:50 long.

This episode was published on Feb 7, 2022.

Yes. Use the heart button on the episode page to add it to your favorite episodes list.

Yes. This page shows related episodes from SDCast when more episodes are available from the podcast feed.