Привет, Хабр!
Не устаю напоминать, что меня зовут Юрий Шабалин. Вместе с командой Стингрей Технолоджиз мы занимаемся анализом защищенности мобильных приложений: находим различные типы уязвимостей и помогаем их устранять. Сегодня я хочу поделиться с вами отличной новостью: в этот четверг, 11 августа, расскажу в прямом эфире в Telegram о том, как покрывать код проверками безопасности. Приглашаю всех вас послушать - уверен, вам будет жарко, вернее, интересно.
А пока немного спойлеров.
Эфир четверга станет продолжением цикла, посвященного важным вопросам разработки ПО. Проводит трансляции компания Awilix в Telegram-канале Just Security. Первая трансляция уже состоялась (вот краткое резюме), а вторая будет в четверг, 11 августа в 18:00 - на ней я и выступлю.
Почему мы сосредоточимся на том, как покрывать код проверками безопасности? Эта тема сейчас крайне актуальна. Зачастую компании торопятся выпустить на рынок новый продукт, чтобы, например, опередить конкурентов и увеличить прибыль. Поэтому безопасность уходит на второй план, если даже не третий или четвертый. По данным отчета Veracode, 75,8% приложений содержат хотя бы один недостаток, 23,7% имеют серьезные уязвимости. Такое количество проблем как бы намекает хакерам, что можно заглянуть на огонек и поискать что-то интересное для себя, а если хорошо постараться, можно много чего успеть сделать. А в итоге - проблемы у разработчиков и владельцев продукта, финансовые потери и ущерб репутации. Поэтому пора уже начать работать на опережение и тщательно проверять код.
В прямом эфире мы обсудим поиск секретов в коде. А именно конфиденциальной информации, связанной с конкретным приложением. Все знают, что нужно хранить ее крайне надежно, например, шифровать или использовать промежуточные API на своем сервисе. А вот включать секреты в код не стоит (а тут не все в курсе, как показывает наш опыт). Также нельзя допускать, чтобы по ошибке в приложения попадала совсем не та информация, которая нужна. Необходимо исправлять такие ситуации на лету, не дожидаясь, когда чувствительная информация попадет в релиз и убрать ее оттуда будет намного сложнее. Недавно я уже рассказывал про то, как найти и проверить секреты сторонних сервисов, которые используются в мобильных приложениях - в этой статье. Еще я писал про поиск чувствительной информации в приложениях - вот здесь.
Также мы поговорим про поиск уязвимостей. Небезопасное хранение данных, некорректное использование криптографии, отсутствие защиты канала связи - все эти простые ошибки до сих пор часто встречаются в мобильных приложениях (я писал об этом здесь), а если говорить про Web, то там поверхность атаки еще больше и интереснее. Чтобы устранить эти и другие уязвимости вручную, потребуется очень много времени. А результат может быть некачественным - большую роль сыграет человеческий фактор. Решить эти проблемы может помочь грамотно выстроенный процесс безопасной разработки, включающий в себя все необходимые практики для анализа защищенности приложений (да, и об этом тоже поговорим).
Итак, всех, кто, как и я, обожает разбираться разбираться с нюансами различных процессов, с инструментами и их проблемами, - ждем 11 августа на канале Just Security. Пометьте в своих календарях. В качестве еще одного спикера выступит Анастасия Худоярова, ведущий специалист по безопасной разработке Awilix. Эфир будет идти не дольше часа. Мы расскажем вам только самое важное - коротко и по делу.
Большое спасибо единомышленникам из Awilix за приглашение в эфир! Всегда здорово, когда коллеги по индустрии организуют такие активности. Так у всех нас появляется еще больше возможностей обмениваться опытом и просто общаться.
