Bezpieczny Kod Podcast

Nasz podcast żyje na styku cyberbezpieczeństwa i rozwoju oprogramowania. Przybliżamy w nim kluczowe aspekty istotne dla nowoczesnych zespołów deweloperskich. Czasem we własnym gronie, czasem z gośćmi – zawsze merytorycznie.

Przeczytaj na blogu

Przesłuchaj

Słuchaj nas

Najnowsze odcinki

Budowanie Programu Security Champions i DevSecOps w FinTech (przypadek XTB)

Łukasz Jagielski z XTB o budowaniu programu Security Champions i wdrażaniu DevSecOps w fintechu. Praktyczne doświadczenia: od inspiracji BNP Paribas, przez wdrażanie bez zaburzania flow deweloperów, po mierzenie sukcesu transformacji bezpieczeństwa.
Więcej →
Cyberbezpieczeństwo w USA vs Polska: Różnice, AI i Rynek Pracy

Maciej zauważa, że w USA cyberbezpieczeństwo jest postrzegane jako wartość biznesowa, generująca zyski i spełniająca oczekiwania klientów. To podejście jest bardziej zaawansowane niż w Polsce, gdzie często traktuje się je wyłącznie jako koszt. Podkreśla niską świadomość zagrożeń cyfrowych, w tym AI, oraz nieskuteczność szkoleń phishingowych.
Więcej →
Architekt o cybersecurity. Czy wszyscy w IT muszą znać się na bezpieczeństwie?

Michał, tech lead i architekt, podkreśla rosnącą świadomość bezpieczeństwa programistów i podejście „shift-left”. Elastyczność i ciągła nauka są kluczowe. Testy bezpieczeństwa wdraża się po incydentach lub dla zgodności. Zabezpieczenie VPS wymaga firewalla, fail2ban i rozważnego wystawiania usług. Dla początkujących w CyberSec poleca TryHackMe, aby przetestować zainteresowanie.
Więcej →
Cyberbezpieczeństwo w dobie AI – Doktor Prawa o sztucznej inteligencji

Główne wyzwania cyberbezpieczeństwa to bezpieczeństwo i zgodność systemów AI, ochrona przed wyrafinowanymi atakami na osoby i biznes, oraz utrata zaufania do dostawców chmurowych z powodów geopolitycznych. Odejście od chmury stwarza nowe możliwości rozwoju kompetencji dla specjalistów cyberbezpieczeństwa.
Więcej →
Rząd nas śledzi. Vibe Coding uczy… złych nawyków.

Ten odcinek omawia: darmowy skaner Artemis CERT NASK, vibe coding, odmowę Apple ws. backdoora i walkę o prywatność. Porusza szpiegowanie przez rządy (Pegasus, NSA), ataki na AWS (fałszywe AMI), kradzież 1,5 mld USD z Bybit (hakerzy z Korei Północnej). Podkreśla znaczenie OPSEC i segmentacji sieci. Idealny dla specjalistów IT/security, deweloperów, inżynierów DevOps.
Więcej →
Semgrep vs Szlachetny OpenGrep. Google kradnie hasła pracowników.

Andrzej i Krzysiek omawiają zmianę licencji Semgrep, narzędzia do analizy kodu. Firmy ASPM używały go, konkurując z wersją komercyjną. Dyskutują wpływ na decyzję Semgrep. Poruszają też incydent złośliwego kodu w OpenGrepie i problem wycieków sekretów. Analizują „Living Tradition” Google, czyli etyczne hakowanie pracowników, oraz atak na Subaru. Podkreślają, że nie wszystkie podatności mają realny wpływ…
Więcej →
Podsumowanie 2024 w Cyberbezpieczeństwie. Odpowiedzialność.

Podsumowanie 2024 w cyberbezpieczeństwie. Sukces kursu „ABC DevSecOps” z 60% ukończeń podkreśla wagę szkoleń. Dyskutują o odpowiedzialności za bezpieczeństwo w procesie wytwórczym – proponują umieszczenie zespołów AppSec pod CTO, nie CISO. Kwestionują wartość IAST, stawiając na inwestycje w edukację.
Więcej →
Rekrutacyjne Ataki Cybernetyczne i Analiza Zagrożeń Chmurowych

Krzysiek i Andrzej omawiają raport DataDog o zagrożeniach chmurowych: długo żyjące poświadczenia i uwierzytelnianie federacyjne. Analizują ataki cybernetyczne z Korei Północnej (fałszywe profile AI na LinkedIn) oraz szokujące statystyki Google dotyczące wykorzystanych podatności zero-day. Podkreślają znaczenie zasady najmniejszych uprawnień w chmurze i dyskutują o braku cyberbezpieczeństwa w najnowszym ThoughtWorks Technology Radar.
Więcej →
Skuteczne Testy Phishingowe i Edukacja Pracowników

Posłuchaj rozmowy z Jakubem Staśkiewiczem z OpenSecurity.pl. Poznaj jego drogę w IT i ewolucję cyberbezpieczeństwa. Dowiedz się jakie znaczenie ma edukacja pracowników, zwłaszcza w kontekście świadomości bezpieczeństwa i skutecznych testów phishingowych. Jakub podkreśla, że bezpieczeństwo to proces, a nie produkt, a celem jest minimalizowanie ryzyka, nie biurokracja.
Więcej →
Security Engineer, który grał w brydża – o umiejętnościach miękkich

Jakub Domarecki, Senior Cloud Security Engineer z Egnyte, dzieli się fascynującą ścieżką kariery – od marketingu i brydża sportowego do cyberbezpieczeństwa. Opowiada, jak strategicznemu myśleniu z brydża pomogło mu w IT. Zainspirowany incydentem WannaCry, Jakub zdobywał wiedzę w GSK, podkreślając znaczenie języka angielskiego. Omawia Defect Dojo, rolę Product Security Engineera i znaczenie DevSecOps w chmurze,…
Więcej →
Od Testera QA do Eksperta Cyberbezpieczeństwa w DevSecOps

Klara Trzcińska z Pentakomp opowiada o swojej drodze od testera QA do specjalisty cyberbezpieczeństwa. Podkreśla, jak testerzy mogą wykorzystać swoje umiejętności programistyczne i znajomość OWASP, by przejść do ról w cyberbezpieczeństwie. Omawia automatyzację bezpieczeństwa w CI/CD za pomocą narzędzi jak SonarCube, Snyk/Trivy oraz OWASP ZAP/Burp Suite.
Więcej →
Bezpieczeństwo Front-End, a Wyzwania Zespołu

Patryk Omiotek, ekspert od front-end, omawia kluczowe aspekty bezpieczeństwa w rozwoju aplikacji webowych. Czy Twój zespół jest przygotowany na te wyzwania? Posłuchaj i dowiedz się, jak podnieść poziom bezpieczeństwa w Twoich projektach!
Więcej →
QA a Bezpieczeństwo: Wyzwania Współczesnych Testerów

Piotr Tuński, QA lead, omawia ewolucję roli testera, znaczenie automatyzacji i bezpieczeństwa w QA oraz innowacyjne metody testowania, takie jak „Shift Right”. Dowiedz się, jak zmieniają się wymagania i perspektywy w dziedzinie zapewniania jakości oprogramowania.
Więcej →
Cyberbezpieczeństwo i 30 Lat z Błędami

Marek Zmysłowski, ekspert cyberbezpieczeństwa, omawia wpływ AI na cyberbezpieczeństwo, ewolucję zagrożeń w aplikacjach oraz wyzwania w komunikowaniu wartości cyberbezpieczeństwa w biznesie.
Więcej →
Raport Cloudflare 2024: Kluczowe wnioski i zagrożenia w cyberbezpieczeństwie

Raport Cloudflare 2024 ujawnia, że boty stanowią ponad 30% globalnego ruchu, a ponad 90% to boty nieweryfikowane. Ruch API to ponad 60% całości, z czego 25% to „Shadow API”. Średnia aplikacja ładuje 47 zewnętrznych skryptów, co generuje ryzyko ataków na łańcuch dostaw. Omówiono również zero-day exploit oraz wyzwania związane z CSP i SRI.
Więcej →
Kariera DevSecOps – Od Czego Zacząć? O Mentoringu i Dashboardach

Od czego zacząć przygodę z kariera DevSecOps? W podcaście Katarzyna Brzozowska, inżynier DevSecOps, dzieli się ścieżką kariery. Od obsługi klienta, przez backend development i administrację Linuxa, aż po DevSecOps. Podkreśla znaczenie doświadczenia programistycznego/administracyjnego (zwłaszcza z Linuxem). Rozmowa dotyczy monitoringu (Elastic Stack, Prometheus, Grafana) jako startu w cyberbezpieczeństwie.
Więcej →
Crowdtesting, Bug Bounty, Bug Hunting

W podcaście Krzysztof Witczak (Global App Testing) omawia crowdtesting – innowacyjne podejście do testowania z udziałem 80 tys. testerów z 190 krajów. Dowiesz się, jak wykrywać „edge case’y” i łączyć to z bezpieczeństwem, inspirując się Bug Bounty. Mówimy o roli AI w automatyzacji oraz kluczowym znaczeniu compliance (ISO 27001, SOC 2, RODO) dla globalnych firm.
Więcej →
Awaria CROWDSTRIKE wyjaśniona! Problem z Falcon czy z Microsoft Windows?

Analizujemy awarię CrowdStrike i Falcon Sensor (EDR), która sparaliżowała systemy IT przez błędną sygnaturę. Podkreślamy, że bezpieczeństwo macOS/Linux to mit i dlaczego Windows jest celem ataków. Omawiamy też wyciek tokena GitHub z obrazu Dockerowego Python Foundation, podkreślając potrzebę skanowania. Kluczowe dla specjalistów cyberbezpieczeństwa i zarządzania ryzykiem.
Więcej →
Cyberbezpieczeństwo w Allegro: „Purple Team” i ochrona deweloperów

W odcinku Marcin Ratajczyk z Allegro, omawia „purple team” – współpracę ofensywnych i defensywnych zespołów IT. To wykracza poza pentesty, symulując ataki dla podniesienia bezpieczeństwa. Dyskusja obejmuje Threat Modeling, szkolenia OWASP Top 10 oraz praktyczne porady dla deweloperów, jak chronić swoje stacje robocze. Poruszane są też ataki na deweloperów, w tym oszustwa rekrutacyjne złośliwym oprogramowaniem.
Więcej →
Sekrety z Git Clone Mirror, EU Chat Control, Podatność RegreSSHion

Analizujemy podatność OpenSSH umożliwiający zdalne wykonanie kodu, podkreślając trudność eksploitacji na systemach 64-bitowych. Dyskutujemy o „Sekretach Widmo” – sekrety niewykrywalne przez standardowe narzędzia, ujawniając problem cachowania commitów. Poruszamy też kontrowersje wokół cenzury wiadomości w UE, grożącej naruszeniem szyfrowania end-to-end. Świadomość cyberzagrożeń jest kluczowa.
Więcej →
Bezpieczeństwo jako benefit. Blue Team, a Red Team

W tym odcinku Bezpiecznego Kodu gościmy Filipa Rejcha, Head of Cyber Security Architecture and Design w ISS. Filip dzieli się swoją ścieżką kariery w cyberbezpieczeństwie, od IT po architekturę bezpieczeństwa. Dowiesz się, dlaczego znajomość technik ofensywnych jest kluczowa dla specjalistów Blue Teamu, nawet bez doświadczenia w pentestingu.
Więcej →
Szyfrowanie w Spoczynku, Krzyczący Bezpiecznicy, Malicious Themes, Apple AI

Analizujemy wpływ cyberbezpieczeństwa na organizacje. Czy szyfrowanie danych w spoczynku jako panaceum to mit? Podkreślamy znaczenie skupienia na realnych zagrożeniach aplikacji (np. SQL Injection). Omawiamy rzadką podatność PHP CGI (CVE-2024-4577) i przestrzegamy przed medialnym szumem. Ujawniamy złośliwe rozszerzenia VS Code i apelujemy o „pinowanie” GitHub Actions dla bezpieczeństwa CI/CD.
Więcej →
Połączyć regulacje prawne, bezpieczeństwo i programowanie

W tym odcinku Piotr Siemieniak, doktor prawa i inżynier oprogramowania, łączy świat technologii, regulacje prawne i cyberbezpieczeństwo. Dowiemy się, jak jego interdyscyplinarne podejście pomaga w ochronie danych osobowych, w tym prawie do usunięcia danych i zgodności. Piotr podkreśla, że bezpieczeństwo to biznes-enabler, a compliance prawny, jak RODO, jest kluczowy dla risk-based approach.
Więcej →
LLM Jacking, co łączy phishing i pożary, bezpieczne środowiska CI/CD

Bezpieczny Kod analizuje LLM Jacking, gdzie cyberprzestępcy kradną klucze chmurowe, by uruchamiać duże modele językowe (LLM) na koszt ofiar, monetyzując to przez reverse proxy. Koszty mogą sięgać 46 tys. USD/dobę. Kluczowy jest monitoring chmury. Omawiamy też czy phishing ciągle jest skuteczny; Google stawia na kluczyki sprzętowe. Podkreślamy higienę poświadczeń i uwierzytelnianie dwuskładnikowe w CI/CD.
Więcej →
Product security: wszyscy gramy do jednej bramki

W podcaście Maciej Markiewicz (Egnyte) omawia product security. Porównuje podejścia AppSec w software house’ach i firmach produktowych, podkreślając wagę długoterminowego planowania. Dzieli się wiedzą o efektywnym eliminowaniu podatności i budowaniu kultury cyberbezpieczeństwa poprzez współpracę. Radzi, jak dostosować komunikację o ryzyku do odbiorcy. Zwraca uwagę na Threat Modeling i analizę ryzyka dla Secure by Design.
Więcej →
Postman i jego sekrety (1700!), raport DBIR oraz Dependency Confusion

Najnowszy podcast analizuje upublicznione sekrety w Postmanie – 1700 ujawnionych kluczy przez słabe UI/UX. Problem pogłębia ograniczony dostęp do prywatnych przestrzeni. Dodatkowo omówiono raport Verizon DBIR: większość incydentów ma motyw finansowy, phishing jest nadal groźny (kliknięcie w mniej niż 60 sekund), a klucze sprzętowe to najlepsza obrona. Poruszono też „dependency confusion” i „dramę” Slacka z…
Więcej →
Cyberbezpieczeństwo to odpowiedzialność całego zespołu

W tym odcinku Bartosz Różański, programista i specjalista AppSec, opowiada o swojej ścieżce kariery i roli Security Championa. Kluczowe dla efektywnych programów Security Champions są wsparcie menedżerskie i rozwój deweloperów. Omówiono praktyczne aspekty wdrażania bezpieczeństwa w CI/CD, w tym SAST i SCA, podkreślając ich rolę w bezpieczeństwie łańcucha dostaw oprogramowania. Cyberbezpieczeństwo to odpowiedzialność całego zespołu.
Więcej →
Hakowanie CI/CD, Raport Orange i stan DevSecOps wg. DataDog

Ten odcinek podcastu analizuje hakowanie CI/CD, w tym atak na Microsoft przez literówkę w projekcie open source, co podkreśla znaczenie prawidłowej konfiguracji runnerów i świadomości DevSecOps. Omówiono raport Orange o cyberzagrożeniach w Polsce: wzrost ataków phishingowych oraz dominację stilerów i botnetów IoT (Mirai). Podkreślono znaczenie regulacji, jak Cyber Resilience Act (CERA), dla bezpieczeństwa urządzeń IoT.
Więcej →
Rola bezpieczeństwa w jakości

Podcast z Arniką Hryszko (Volvo, SJSI) podkreśla: bezpieczeństwo cyfrowe i jakość oprogramowania to wspólna odpowiedzialność zespołu. Omówiono ewolucję SDLC od reaktywnego do proaktywnego podejścia, skupiając się na wczesnym wykrywaniu podatności. Shift Left w cyberbezpieczeństwie to zapobieganie błędom na każdym etapie. Świadomość bezpieczeństwa wśród deweloperów jest kluczowa.
Więcej →
XZ, Cieknące sekrety oraz LLM a złośliwe pakiety

W najnowszym odcinku podcastu omówiono wyzwania cyberbezpieczeństwa, dotykające przemysł motoryzacyjny i sektor publiczny. Skupiono się na wyciekach danych z Mercedes-Benz i BMW, podkreślając znaczenie higieny cyfrowej w zarządzaniu sekretami w repozytoriach GitHub oraz na niewłaściwie skonfigurowanych usługach chmurowych, jak Azure Blob Storage.
Więcej →
LockBit zhakowany, wycieki danych w Mercedesie oraz BMW, AI hakuje aplikacje

W podcaście omówiono wyzwania cyberbezpieczeństwa, w tym wycieki danych z Mercedes-Benz i BMW, podkreślając znaczenie higieny cyfrowej i skanowania infrastruktury. Przedstawiono też techniki hakowania web-aplikacji, zagrożenie XSS oraz sceptycznie oceniono możliwość zastąpienia pentesterów przez AI.
Więcej →
Krytyczna podatność w GitLab, Stan supply-chain oraz Hakowanie CI/CD

GitLab ujawnił krytyczną lukę (CVSS 10.0) umożliwiającą przejęcie konta przez reset hasła, co podkreśla znaczenie 2FA. Liczba CVE rośnie o 15% rocznie, szczególnie w PyPI przez AI. NASK udostępnił Artemis, narzędzie do skanowania cyberbezpieczeństwa. „Mavengate” w Mavenie i ogólne wycieki sekretów (20 mln USD w Stripe) to kolejne zagrożenia. Dodatkowo, wykryto pomijaną, krytyczną lukę w…
Więcej →

Zobacz naszą ofertę

Zaciekawiła Cię tematyka naszych audycji? Oferujemy szkolenia i specjalistyczne usługi doradcze w zakresie cyberbezpieczeństwa. Zobacz, jak możemy pomóc Tobie i Twojemu zespołowi rozwinąć te umiejętności w praktyce!

Zobacz ofertę →