Принял участие в #23 подкаста по ИБ "Securit13"

kochetkov.vladimir kochetkov.vladimir
Subj, http://securit13.libsyn.com/-23

Поболтали с парнями о развитии навыков анализа защищенности кода, обсудили распространенное заблуждение о защищенности opensource-проектов и проблему ее обеспечения, затронули использование в проектах сторонних фреймворков и библиотек, слегка прошлись по влиянию гибких методологий разработки на защищенность разрабатываемого кода.

Разумеется, без упоминания RSDN и Nemerle не обошлось
... << RSDN@Home 1.2.0 alpha 5 rev. 72>>
Kubyshev Andrey
Kubyshev Andrey
27.07.2013 05:45
Формат интервью на мой взгляд какой-то, неподходящий ... скучновато слушать, потому что интересное спрашивают через раз.
Манера радио ведущих усмехаться все время раздражает (только меня?) Это же не утреннее ток шоу.
Я так понял что ты работаешь на фирму и сам с заказчиками на начальной стадии дела не имеешь. Сколько например это стоит (пентест или стат анализ), что чаще всего волнует заказчика, за что он собссно платит, от чего страхуется. Зарубеж или Россия, про black hat мир что нить рассказал бы. Оно такое полутаинственное и интересное от того.
Интересно было услышать про бажный сайт билайна где знали про баг, но учли риски, и решили оставить.
kochetkov.vladimir
kochetkov.vladimir
29.07.2013 01:14
Здравствуйте, Kubyshev Andrey, Вы писали:

KA>Формат интервью на мой взгляд какой-то, неподходящий ... скучновато слушать, потому что интересное спрашивают через раз.

KA>Манера радио ведущих усмехаться все время раздражает (только меня?) Это же не утреннее ток шоу.

Это их подкаст, они вольны вести себя там так, как им удобнее Я раздражения при общении не почувствовал.

KA>Я так понял что ты работаешь на фирму


Да, http://ptsecurity.ru

KA>и сам с заказчиками на начальной стадии дела не имеешь.


Что именно ты включаешь в начальную стадию?

KA>Сколько например это стоит (пентест или стат анализ),


Это вопрос из разряда "сколько будет стоить разработать у вас ПО на заказ?" без какой-либо конкретики. ПО бывает разное, же Если брать среднее по рынку, то от "бесплатно", до нескольких млн.р за проект

KA>что чаще всего волнует заказчика, за что он собссно платит, от чего страхуется.


За получение наиболее полного (и в ширину, и в глубину) дерева возможных атак на его приложение/инфраструктуру и рекомендаций по устранению всех выявленных уязвимостей (т.е. за анализ защищенности).

KA>Зарубеж или Россия,


Зарубеж от России в этом плане ничем не отличается.

KA>про black hat мир что нить рассказал бы. Оно такое полутаинственное и интересное от того.


Могу попробовать, но что именно интересует?

KA>Интересно было услышать про бажный сайт билайна где знали про баг, но учли риски, и решили оставить.


Адрес ничего не даст, т.к. сайт существовал ровно сутки и было это несколько лет назад. Саму историю рассказывал здесь: http://vkochetkov.blogspot.ru/2013/03/blog-post.html