 |
Как писать безопасный код и отслеживать угрозы в реальном времени? Рассказала команда GMONIT
Тимлид команды разработки GMONIT Юрий Махоткин назвал основные причины возникновения уязвимостей. Он отметил, что многие ошибки появляются не из-за недостатка профессиональных навыков, а вследствие того, что вопросы безопасности отходят на второй план: например, хакеры воспринимаются как нечто далекое и абстрактное по сравнению с прикладными задачами.
Отдельное внимание уделил влиянию сложной бизнес-логики на качество кода. Участники узнали о конструкциях, которые часто становятся источником сбоев. Среди них:
• реализация ролевых моделей доступа;
• логика, зависящая от времени или меняющихся состояний;
• распределенная логика между UI, сервисами, командами, сторонними API;
• разные конфигурации на проде (он-прем, A/B-тесты и др.);
• неявные допущения и race conditions;
• строковый матчинг и регулярные выражения;
• избыточное количество условных операторов (if-ы).
Также спикер рассказал про 10 рэд флагов в процессе разработки — действиях ИТ-специалистов, которые приводят к узким местам в ПО. Юрий предложил использовать подход SRI (Security Risk Indicator) — индикатор уверенности в наличии рисков безопасности.
Зрители трансляции услышали, насколько важен постоянный мониторинг приложений для раннего выявления угроз. В качестве средств защиты привел:
• Observability платформу GMONIT, которая сокращает время и затраты на поиск технических сбоев за счет комплексного покрытия ИТ-систем и предиктивного анализа метрик.
• Service map, демонстрирующий активную эксплуатацию SSRF.
• Поиск уязвимостей в зависимостях.
• Анализ процессов на хостах для обнаружения подозрительной активности, например запуска новых процессов или нетипичного роста потребления ресурсов.
Кроме того, эксперт напомнил о необходимости учитывать модель STRIDE еще на этапе проектирования архитектуры, чтобы изначально минимизировать вероятность возникновение инцидентов.
В завершении онлайн-мероприятия предложил разработчикам настольную игру «Elevation of Privilege (EoP) Threat Modeling Card Game» от Microsoft, которая помогает в игровой форме отрабатывать навыки моделирования угроз.
Посмотреть видеозапись выступления можно в блоге на официальном сайте GMONIT.
Контактное лицо: Отдел маркетинга
Компания: GMONIT
Добавлен: 09:52, 26.09.2025
Количество просмотров: 896
Страна: Россия
| Digital4food проведет вебинар по 1С:ERP, Digital4food, 21:49, 16.03.2026, Россия507 |  |
| 25 марта комьюнити Digital4food проведет онлайн-встречу о том, как получить бизнес-эффект от уже внедренной 1С:ERP без дополнительных крупных вложений. |
| Мастерская ITKey, ITKey, 21:17, 16.03.2026, Россия111 |
| Практический ИИ в компании: RAG-агент и управление коммуникациями |
| Бранч для будущих мама "Эффект Моцарта", Кенгуру, 22:09, 27.01.2026, Россия272 |
| 5 февраля в историческом ресторане отеля «Никитин» (Нижний Новгород) пройдёт эксклюзивный бранч для будущих мам «Эффект Моцарта: Симфония двух сердец». Событие соединит живую классику, экспертизу в области пренатальной психологии и авторскую гастрономию.
Организаторы — сеть салонов «Кенгуру» и сеть медицинских центров «Александрия». |
| Компания ЛУИС+ проведет вебинар «Как выбрать турникет?», ЛУИС+, 20:04, 23.11.2025, Россия487 |
| Компания ЛУИС+ проведёт вебинар, посвящённый принципам выбора турникетов и современным решениям PERCo — ведущего российского производителя систем и оборудования безопасности, входящего в пятёрку мировых лидеров отрасли. |
|
|
