DevSecOps i Automatyzacja
-
Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)
Łukasz Jagielski z XTB o budowaniu programu Security Champions i wdrażaniu DevSecOps w fintechu. Praktyczne doświadczenia: od inspiracji BNP Paribas, przez wdrażanie bez zaburzania flow deweloperów, po mierzenie sukcesu transformacji bezpieczeństwa.
-
Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?
Michał, tech lead i architekt, podkreśla rosnącą świadomość bezpieczeństwa programistów i podejście „shift-left”. Elastyczność i ciągła nauka są kluczowe. Testy bezpieczeństwa wdraża się po incydentach lub dla zgodności. Zabezpieczenie VPS wymaga firewalla, fail2ban i rozważnego wystawiania usług. Dla początkujących w CyberSec poleca TryHackMe, aby przetestować zainteresowanie.
-
Security Engineer, który grał w brydża – o umiejętnościach miękkich
Jakub Domarecki, Senior Cloud Security Engineer z Egnyte, dzieli się fascynującą ścieżką kariery – od marketingu i brydża sportowego do cyberbezpieczeństwa. Opowiada, jak strategicznemu myśleniu z brydża pomogło mu w IT. Zainspirowany incydentem WannaCry, Jakub zdobywał wiedzę w GSK, podkreślając znaczenie języka angielskiego. Omawia Defect Dojo, rolę Product Security Engineera i znaczenie DevSecOps w chmurze,…
-
Od Testera QA do Eksperta Cyberbezpieczeństwa w DevSecOps
Klara Trzcińska z Pentakomp opowiada o swojej drodze od testera QA do specjalisty cyberbezpieczeństwa. Podkreśla, jak testerzy mogą wykorzystać swoje umiejętności programistyczne i znajomość OWASP, by przejść do ról w cyberbezpieczeństwie. Omawia automatyzację bezpieczeństwa w CI/CD za pomocą narzędzi jak SonarCube, Snyk/Trivy oraz OWASP ZAP/Burp Suite.
-
Raport Cloudflare 2024: Kluczowe wnioski i zagrożenia w cyberbezpieczeństwie
Raport Cloudflare 2024 ujawnia, że boty stanowią ponad 30% globalnego ruchu, a ponad 90% to boty nieweryfikowane. Ruch API to ponad 60% całości, z czego 25% to „Shadow API”. Średnia aplikacja ładuje 47 zewnętrznych skryptów, co generuje ryzyko ataków na łańcuch dostaw. Omówiono również zero-day exploit oraz wyzwania związane z CSP i SRI.
-
Kariera DevSecOps – Od Czego Zacząć? O Mentoringu i Dashboardach
Od czego zacząć przygodę z kariera DevSecOps? W podcaście Katarzyna Brzozowska, inżynier DevSecOps, dzieli się ścieżką kariery. Od obsługi klienta, przez backend development i administrację Linuxa, aż po DevSecOps. Podkreśla znaczenie doświadczenia programistycznego/administracyjnego (zwłaszcza z Linuxem). Rozmowa dotyczy monitoringu (Elastic Stack, Prometheus, Grafana) jako startu w cyberbezpieczeństwie.
-
Cyberbezpieczeństwo w Allegro: „Purple Team” i ochrona deweloperów
W odcinku Marcin Ratajczyk z Allegro, omawia „purple team” – współpracę ofensywnych i defensywnych zespołów IT. To wykracza poza pentesty, symulując ataki dla podniesienia bezpieczeństwa. Dyskusja obejmuje Threat Modeling, szkolenia OWASP Top 10 oraz praktyczne porady dla deweloperów, jak chronić swoje stacje robocze. Poruszane są też ataki na deweloperów, w tym oszustwa rekrutacyjne złośliwym oprogramowaniem.
-
Bezpieczeństwo jako benefit. Blue Team, a Red Team
W tym odcinku Bezpiecznego Kodu gościmy Filipa Rejcha, Head of Cyber Security Architecture and Design w ISS. Filip dzieli się swoją ścieżką kariery w cyberbezpieczeństwie, od IT po architekturę bezpieczeństwa. Dowiesz się, dlaczego znajomość technik ofensywnych jest kluczowa dla specjalistów Blue Teamu, nawet bez doświadczenia w pentestingu.
-
Cyberbezpieczeństwo to odpowiedzialność całego zespołu
W tym odcinku Bartosz Różański, programista i specjalista AppSec, opowiada o swojej ścieżce kariery i roli Security Championa. Kluczowe dla efektywnych programów Security Champions są wsparcie menedżerskie i rozwój deweloperów. Omówiono praktyczne aspekty wdrażania bezpieczeństwa w CI/CD, w tym SAST i SCA, podkreślając ich rolę w bezpieczeństwie łańcucha dostaw oprogramowania. Cyberbezpieczeństwo to odpowiedzialność całego zespołu.