Обзор книги “Agile Application Security”

Рис. “Обложка книги”
  • Рассказать разработчикам о том, как выглядит современные подходы к безопасности
  • Рассказать олдскульным безопасникам как выглядит современная разработка и что запретительный подход из прошлого перестал работать при появлении современных подходов, например, CI/CD
Рис. “Содержание”

Части “Fundamentals” и “Agile and Security”

В самом начале идет краткий экскурс в современную разработку в главах:
Глава 2. Элементы гибких методик
— Глава 3. Революция в методах разработки — присоединяйтесь!
— Глава 4. Работа с существующим жизненным циклом разработки

Глава 5. Безопасность и требования

Тут речь идет о том, что безопасность — это просто еще одна область нефункциональных требований и ее стоит встраивать в процесс работы над системой с самого начала как, например, вопросы производительности конечного решения или его удобства

Глава 6. Гибкое управление уязвимостями

Тут речь идет о том, как относится к уязвимостям, как учитывать их и как планировать их устранение, а также как связано тестирование и безопасность

Глава 7. Риск для agile команд

Вся глава посвящена основам риск менеджмента в контексте вопросов безопасности. Если вы уже знакомы с этой областью знаний, то сложно будет найти что-то новое

Глава 8. Оценка угроз и осмысление атак

Одна из самых содержательных глав по безопасности:) Имеет смысл прочитать ее в оригинале.

Глава 9. Построение безопасных и удобных для пользователей систем

Здесь рассматриваются варианты проектирования безопасности так, чтобы она не приводила в итоге к продукту, которым нельзя пользоваться. Например из-за того, что средства безопасности рушат весь user experience

Глава 10. Инспекция кода в интересах безопасности

Здесь рассматриваются варианты code review причем с точки зрения того, как их использовать правильно, чтобы повысить безопасность конечного решения

Глава 11. Agile тестирование в безопасности

Здесь речь о том, как тестировать код, инфраструктур и CI/CD пайплайн в интересах обеспечения безопасности. Авторы упоминают несколько инструментов, которые могут быть полезны практикующим специалистам

Глава 12. Внешние инспекции, тестирование и рекомендации

Лучше всего про содержание этой главы говорит следующая фраза, завершающая главу

Глава 13. Эксплуатация и безопасность

Здесь рассматриваются вопросы мониторинга и обнаружения вторжений, реакций на инциденты, защиты CI/CD пайплайнов и работы с secrets

Часть “Pulling it all together”

Глава 14. Compliance

Здесь рассматриваются 2 подхода:

  • Подход на основе правил, например, PCI DSS
  • Подход на основе результатов, например, Reg SCI

Глава 15. Культура безопасности

Превосходная глава. Очень хорошо про культуру.

  1. Содействуй, а не блокируй
  2. Прозрачная безопасность
  3. Не ищите виноватых
  4. Масштабировать безопасность, усиливать фланги
  5. Кто — не менее важно, чем как

Глава 16. Что такое гибкая безопасность

В этой главе каждый из 4-х авторов книги рассказывает свою историю и делится тем, как пришел к вопросам безопасности в разработке и кристаллизует свои мысли относительно темы книги

P.S.

Рекомендую эту книгу всем, занимающимся разработкой программного обеспечения!

--

--

Director of digital ecosystem development department at Tinkoff. Bachelor at applied math, Master at system analysis, Postgraduate studies at economics.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Alexander Polomodov

Alexander Polomodov

Director of digital ecosystem development department at Tinkoff. Bachelor at applied math, Master at system analysis, Postgraduate studies at economics.