Сертификация ФСТЭК или Bug Bounty / Реальная безопасность
Чем выше культура безопасной разработки, тем меньше шансов на появление уязвимостей в коде. В этом видео обсуждаем вопросы информационной безопасности и регуляторики в контексте сертификации программного обеспечения. Сертификат ФСТЭК не гарантирует отсутствие ошибок, закладок и уязвимостей в ПО, впрочем, как и Bug Bounty.
Эксперт новой серии технологического шоу AM Talk — Дмитрий Пономарев, зам. ген. дир. испытательной лаборатории НТЦ «Фобос-НТ» / сотрудник Института системного программирования им. В. П. Иванникова РАН / преподаватель МГТУ им. Баумана, кафедра ИУ10.
Почему его стоит посмотреть и послушать? Этот тот самый человек, который помогает внедрять и развивать практики безопасной разработки; работает в испытательной лаборатории — занимается исследованиями ПО на предмет уязвимостей и НДВ. Кроме того, Пономарев — участник рабочих групп по созданию новых ГОСТ в области безопасной разработки.
За 10 минут мы разберем:
- новый тренд в подходах к сертификации ФСТЭК;
- различия между Bug Bounty и сертификацией, в том числе в использовании исходных кодов, контроле за участниками и возможности утечек информации;
- может ли Bug Bounty стать частью процесса сертификации ФСТЭК в ближайшем будущем.
А что думаете вы? Нам важно мнение наших подписчиков, ждем вас в комментариях!
-----
Содержание:
00:07 Интро о безопасной разработке
00:39 Гарантирует ли сертификат ФСТЭК России безопасность?
02:49 На стороне разработчика
03:25 Скорое обновление ГОСТ по безопасной разработке
04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty
05:01 Тезис № 1: Black box vs. White box тестирование
07:10 Тезис № 2: не всё ПО подходит для BB
08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс
09:28 Аутро о культуре безопасной разработки