Как писать безопасный код и отслеживать угрозы в реальном времени? Рассказала команда GMONIT

2025-09-23 17:15:56 Время чтения 3 мин 152

18 сентября мы провели технический вебинар «Когда разработчику нужно задуматься об ИБ? Observability безопасности», где обсудили, как создать надежное ПО и зачем применять инструменты мониторинга. 

Тимлид команды разработки GMONIT Юрий Махоткин назвал основные причины возникновения уязвимостей. Он отметил, что многие ошибки появляются не из-за недостатка профессиональных навыков, а вследствие того, что вопросы безопасности отходят на второй план: например, хакеры воспринимаются как нечто далекое и абстрактное по сравнению с прикладными задачами.

Отдельное внимание уделил влиянию сложной бизнес-логики на качество кода. Участники узнали о конструкциях, которые часто становятся источником сбоев. Среди них:

  1. реализация ролевых моделей доступа;
  2. логика, зависящая от времени или меняющихся состояний;
  3. распределенная логика между UI, сервисами, командами, сторонними API;
  4. разные конфигурации на проде (он-прем, A/B-тесты и др.);
  5. неявные допущения и race conditions;
  6. строковый матчинг и регулярные выражения;
  7. избыточное количество условных операторов (if-ы).

Также спикер рассказал про 10 рэд флагов в процессе разработки — действиях ИТ-специалистов, которые приводят к узким местам в ПО. Юрий предложил использовать подход SRI (Security Risk Indicator) — индикатор уверенности в наличии рисков безопасности. 

Зрители трансляции услышали, насколько важен постоянный мониторинг приложений для раннего выявления угроз. В качестве средств защиты привел:

  1. Observability платформу GMONIT, которая сокращает время и затраты на поиск технических сбоев за счет комплексного покрытия ИТ-систем и предиктивного анализа метрик.
  2. Service map, демонстрирующий активную эксплуатацию SSRF.
  3. Поиск уязвимостей в зависимостях.
  4. Анализ процессов на хостах для обнаружения подозрительной активности, например запуска новых процессов или нетипичного роста потребления ресурсов.

Кроме того, эксперт напомнил о необходимости учитывать модель STRIDE еще на этапе проектирования архитектуры, чтобы изначально минимизировать вероятность возникновение инцидентов.

В завершении онлайн-мероприятия предложил разработчикам настольную игру «Elevation of Privilege (EoP) Threat Modeling Card Game» от Microsoft, которая помогает в игровой форме отрабатывать навыки моделирования угроз.

Предлагаем к просмотру видеозапись выступления:

  1. ВКонтакте
  2. Rutube
  3. YouTube

Источник

Категории: BPM и IT, иформация для CIO
Другие материалы блога
Импортозамещение в мониторинге: почему GMONIT — российская альтернатива New Relic, Zabbix, Sentry, Datadog и другим зарубежным решениям
2025-11-27 11:37:17 157
GMONIT заняла 4 место в рейтинге ФРИИ «Быстрорастущие ИТ-компании»
2025-11-24 16:52:38 595
Команда GMONIT провела бизнес-встречу для ИТ-директоров
2025-11-19 12:22:43 254
Как модель зрелости мониторинга делает бизнес более управляемым
2025-11-05 09:49:57 170
GMONIT приняла участие в круглом столе New Retail Forum 2025
2025-10-31 11:54:51 215
Как предотвращать сбои в работе интернет-магазинов и перестать считать упущенную прибыль? GMONIT на E-Retail Week 2025
2025-10-24 17:01:36 378
Еще материалы
Вице-президент АБКР Алексей Андреев — Председатель жюри блока BRANDING фестиваля SM Awards
2025-12-04 20:33:14 118
«Вместе Медиа. Контент» открывает приём заявок на конкурс для журналистов и пиарщиков
2025-12-04 14:07:09 103
Как агентство IQ усилило позиционирование банного комплекса «Огниво» для премиум-аудитории Москвы
2025-12-04 11:28:26 210
Тот самый трогательный момент в титрах, который вы наверняка пропускали
2025-12-03 18:24:56 242
Kantar 2026: где деньги, а где хайп
2025-12-03 18:07:50 144
Состоялась церемония награждения победителей MedMen Awards 2025
2025-12-03 14:40:05 238