⚙️ OWASP
Безопасность разработки и CI/CD
Терминология логирования
Согласованная терминология и поля событий безопасности для корреляции и обмена между системами и командами.
⚙️ OWASP
Безопасность разработки и CI/CD
Ужесточение цепочки инструментов на C
Ужесточение сборки нативного кода на C/C++: флаги компилятора, защиты линкера и снижение эксплуатируемости бинарников.
⚙️ OWASP
Безопасность разработки и CI/CD
Управление уязвимыми зависимостями
Выявление и устранение уязвимых зависимостей: сканирование, политики обновлений и приоритизация по эксплуатации.
📱 OWASP
Безопасность специфичных платформ и устройств
Архитектура безопасности микросервисов (док.)
Документирование архитектуры безопасности микросервисов: потоки доверия, границы и требования для аудита и онбординга.
📱 OWASP
Безопасность специфичных платформ и устройств
Архитектура нулевого доверия
Принципы Zero Trust: верификация каждого запроса, микросегментация и отказ от неявного доверия внутри периметра.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность AJAX
Рекомендации по безопасности асинхронных запросов XMLHttpRequest и Fetch. Снижение рисков XSS, CSRF и утечек данных при обмене с сервером.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность CSS
Риски, связанные с CSS (утечки через стили, влияние на UI), и меры для снижения побочных эффектов в веб-приложениях.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность HTML5
Риски и настройки, связанные с API и разметкой HTML5: хранилища, CORS, встроенный контент и смежные векторы в браузере.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность БПЛА
Угрозы для БПЛА и наземной инфраструктуры: каналы управления, прошивки и физический периметр.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность автомобильных систем
Особенности ИБ автомобильных и связанных систем: сегментация шин, OTA, угрозы для ECU и внешних интерфейсов.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность микросервисов
ИБ распределённых систем из микросервисов: аутентификация сервис-сервис, mTLS, секреты и границы доверия.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность мобильных приложений
Типовые риски мобильных приложений: хранилище, транспорт, обфускация и взаимодействие с бэкендом.
📱 OWASP
Безопасность специфичных платформ и устройств
Безопасность мультитенантности
Изоляция данных и полномочий в мультитенантных приложениях: схемы разделения и проверки на каждом запросе.
📱 OWASP
Безопасность специфичных платформ и устройств
Закрепление сертификатов
Закрепление открытых ключей или сертификатов (pinning) в клиентах для снижения риска атак на доверие к PKI.
📱 OWASP
Безопасность специфичных платформ и устройств
Криптографическое хранение
Выбор алгоритмов, режимов и ключей для хранения чувствительных данных. Избегание слабых конструкций и типовых криптографических ошибок.
📱 OWASP
Безопасность специфичных платформ и устройств
Моделирование угроз
Практическое моделирование угроз: границы системы, активы, злоумышленники и приоритизация контролей.
📱 OWASP
Безопасность специфичных платформ и устройств
Сценарии злоупотреблений
Формулирование сценариев злоупотребления при моделировании угроз. Помогает выявлять злоупотребления функциональностью до реализации.
📱 OWASP
Безопасность специфичных платформ и устройств
Управление ключами
Жизненный цикл криптографических ключей: генерация, хранение, ротация и разграничение доступа к материалам ключей.
📱 OWASP
Безопасность специфичных платформ и устройств
Управление секретами
Управление секретами приложений и инфраструктуры: хранилища, ротация, доступ по ролям и исключение утечек в репозитории.
📱 OWASP
Безопасность специфичных платформ и устройств
Уязвимости браузерных расширений
Типовые уязвимости расширений браузера: XSS в контексте расширения, права, обмен сообщениями и работа с конфиденциальными данными.