Kraków: 23 kwietnia - prezentacja o bezpieczeństwie aplikacji webowych Pawła Golenia

Submitted by Paweł Krawczyk on czw., 2009-04-09 13:52

Spotkanie będzie poświęcone testowaniu aplikacji webowych. Poprowadzi je świetny praktyk, Paweł Goleń.

  • na czym polega "testowanie zabezpieczeń",
  • po co testować,
  • specyfika aplikacji internetowych (i dlaczego ich bezpieczeństwo jest ważne),
  • dlaczego aplikacje internetowe są atakowane (wartości/zasoby, zagrożenia),
  • co widzę w pracy, czyli o typowych błędach (OWASP TOP10, SANS TOP25),
  • co jest źle (u klientów i dostawców),
  • co można zrobić lepiej (SDL, BSIMM, SAMM),

Budynek główny ComArch al. Jana Pawła II 39 a
Sala: "Widownia" -- to taka okrągła sala na prawo od bramek wejściowych

http://groups.google.pl/group/spin-pl/browse_thread/thread/c9efad48bb158...
http://wampir.mroczna-zaloga.org/archives/559-XXIV-spotkanie-SPINu-23.04...

Odpowiedzi

Opcje wyświetlania odpowiedzi

Wybierz preferowany sposób wyświetlania odpowiedzi i kliknij "Zapisz ustawienia" by wprowadzić zmiany.

PK -> Co do terminologii to się zgadzam. Ale od strony przekazu jest inaczej.

1) Zobacz jakie wyniki / ile linków sponsorowanych / jakiego typu treści pojawia się w google po wpisaniu "audyty bezpieczeństwa oferta" czy czegoś podobnego.
2) Te wyniki to w większości nie są audyty tylko testy :-)
3) Na stronach securitum zaczęliśmy komunikować odpowiednie produkty jako właśnie "testy" - ale mało kto rozumiał o co chodzi. To samo w komunikacji face2face. Stesty / niestety będziemy prawdopodobnie przechodzić do nomenklatury "audytów".
4) Proponuję wykonać też test z góglem na frazę "testy bezpieczeńśtwa oferta". Tu z wynikami jest gorzej - garstka firm nieśmiało coś przebąkuje o testach i tyle.

Oczywiście nie są to argumenty, że tego typu działania powinno się nazywać "audytem".
To raczej argument, że jeśli chce się być rozumianym, raczej warto używać pojęcia "audyt". Albo zmienić świadomość odbiorców - ale to nie jest proste.

Submitted by Michał Sajdak (niezweryfikowany) on wt., 2009-04-14 14:52.

Co do terminologii to skłaniam się ku zawężeniu pojęcia "audyt" przedstawionego przez K. Lidermana:

http://ub0.cc/92/2r

Wniosek jaki można wysnuć z tej publikacji (oraz własnych doświadczeń) jest taki, że słowo "audyt" powinniśmy zarezerwować do formalnej procedury weryfikacji stopnia czegoś definiowanego przez specyfikację tego czegoś. Czyli na przykład audyt zgodności produktu z ustawą o podpisie elektronicznym na podstawie tej ustawy i rozporządzeń. Albo audyt wg ISO 27001.

Test penetracyjny z natury rzeczy nie jest prowadzony według ścisłej specyfikacji, bo opiera się na "aktualnym stanie wiedzy". Z tego powodu unikam stosowania określenia "audyt" w stosunku do testów.

Submitted by Paweł Krawczyk on wt., 2009-04-14 12:30.

Przyznam, że z panem Pawłem Goleniem miałem do czynienia na polu zawodowym i na tej podstawie twierdzę, że prezentacja na pewno będzie bardzo ciekawa merytorycznie :-)

Filozoficzna kwestia: czy raczej powinno się mówić o testach aplikacji / testach bezpieczeństwa?. Czy może raczej o audycie bezpieczeństwa?
"Testy" chyba bardziej oddają istotę rzeczy (szczególnie jeśli doda się przymiotnik: "penetracyjne) - tyle, że testy raczej kojarzą się z testowaniem funkcjonalnym aplikacji albo np. krasz testami bezpieczeństwa samochodów ;-)
Pojęcie audyt (bezpieczeństwa) aplikacji jest z kolei zrozumiały przez większą liczbę osób, ale brzmi groźnie...

Ot moje 3 gr. ;-)

Submitted by Michał Sajdak (niezweryfikowany) on wt., 2009-04-14 11:56.