こんにちは!これは、バックエンドユナイテッドの第6回会議からのレポートです。今回、mitapはセキュリティ問題に専念し、Tabascoと呼ばれていました。Skyeng、Avito、Tinkoff、およびYandex.Cloudsのスピーカーは、初心者がセキュリティの問題から始め、Sentryと連携し、開発者が脆弱性を見つけて修正するプロセスを整理する方法について話しました。
カットの下-簡単なナビゲーションのためのタイムコード付きスピーチのビデオ録画へのリンクとスピーカーのプレゼンテーションへのリンク。
Webアプリケーションのセキュリティ:破壊する方法と破壊しない方法-Denis Yuriev、Skyeng
デニスは、大企業の開発者にとって、関連するセキュリティ問題がどのように関連しているか、初心者がどのようにそれらを汲み上げることができるかについて話しました。例としてさまざまなプロジェクトを使用して、開発者が検出でき、修正する時間があることを示しました-誤って構成されたnginxおよびXSSヘッダーからDDoSまで。
00:00 —
01:38 — : -
03:35 — : ,
07:19 — : -
12:53 — :
17:13 — :
29:47 — ,
Single quote injection to find them all — ,
Sentry.
00:04 —
00:29 — SQL-injections,
01:52 —
03:05 —
05:03 — Error tracking software Sentry,
08:35 —
10:13 —
13:10 —
Security Training & Awareness — ,
, .
00:00 —
00:07 — , AppSec
02:36 —
03:12 — : , security champions, internal bug-bounty
14:56 —
15:45 — : ,
16:07 —
23:10 —
DevSecOps : . — , .
. , . .
00:00 —
01:13 —
07:25 — .
09:42 — Security development lifecycle .
24:59 —
28:05 — Application Sandboxing
30:58 — Complience
32:31 — Production access control hardenings
!