Her bir şey Bugün Cevapla
Ara
Kategoriler
duyuru (1)
soru (39)
müzik (2)
film/dizi (1)
teknik (4)
medikal (2)
sözlük (0)
yabancı dil (0)
yer/yön (1)
alınık/satılık (1)
gönül işleri (4)
hayvan (0)
kayıp (0)
kan aranıyor (0)
ev/kalacak yer (0)
Son Cevaplananlar
[]

yazılımcılara soru: güvenlik işini ne yapıyorsunuz

malum yazdığınız uygulamalarda güvenlik açıkları olabiliyor. çalıştığınız firmalar yazılım geliştirme akışında güvenlik işini nasıl çözüyor. netsparker gibi otomatik test toollarını kullanan var mıdır? varsa otomatik araçların kalitesinden memnun musunuz?




 
Hacklenene kadar bekliyoruz, sonra sorunu görüp, çözüp, veri kaybı varsa (genelde olmuyor) yedekten devam ediyoruz. (şaka değil). Şu ana kadar çalıştığım ama hack'lenmeyen bi web uygulaması olmadı.

Onun haricinde genelde bu pentesting yapan firmalardan da hizmet alıyoruz, ama henüz bizim göremediğimiz bir şeyi görebilen çıkmadı. Onların bu tool'ları kullandığını zannediyorum. Genelde "sertifika" işi için gerekiyor, yoksa gerçekten bir işe yaradığına şahit olmadım.
  • plutongezegendegilmi  (27.01.22 23:58:01) 
@plutongezegendegilmi o kadar hakli ki :D Gercekten pek bir sey yapmiyoruz hacklenene kadar. O kadar korkutucu gelmiyor bizlere bu surec.


  • bedbed  (27.01.22 23:59:23) 
danışmanlar halediyor bazen


  • ShadowOfMoon  (28.01.22 00:07:11) 
yazılımcı olarak yapılacaklar; güvenli kod geliştirme kurallarını araştırıp uygulamak ve yaşayıp öğrenmekten başka fazla yapılacak yok.
şirket olarak iyi firmaların tecrübeli elemanları ile belli aralıklarla pentest yapmak olabilir. bir de bug bounty olayı var, bu da faydalı olur. eğer pentest yaptırılırsa bu süreçlere olabildiğince yakın olup bir şeyler kapmaya çalışmak da faydalı olur. hangi metedolojileri veya toolları kullanıyorlar, nereleri test ediyorlar ve tabi ki buldukları bulgular.

  • surprise  (28.01.22 00:13:31 ~ 00:15:17) 
Pair review, static code analysis (gitlab e entegre), owasp top 10 tabi, gerisi zaten framework library community e güven (her lib için benchmarkları koşuyoruz, gitte son release i ne zaman, kaç mr ı var kaç abondened issue var vs). Uygulama önünde sistem ekibinin yaptıkları var tabi benim dediklerim application server için. Firewall u var load balancer ı var kubernetes i var, DB için ssh tunnel i var, var babam var. Artı zaten ürünler AWS de onların kendi güvenlik önlemlerine girmiyorum bile.


  • wiekannich  (28.01.22 04:04:32) 
1
istatistikler
yardım / hakkında
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.