• Новости

Как писать безопасный код и отслеживать угрозы в реальном времени? Рассказала команда GMONIT

Тимлид команды разработки GMONIT Юрий Махоткин назвал основные причины возникновения уязвимостей. Он отметил, что многие ошибки появляются не из-за недостатка профессиональных навыков, а вследствие того, что вопросы безопасности отходят на второй план: например, хакеры воспринимаются как нечто далекое и абстрактное по сравнению с прикладными задачами.

Отдельное внимание уделил влиянию сложной бизнес-логики на качество кода. Участники узнали о конструкциях, которые часто становятся источником сбоев. Среди них:

• реализация ролевых моделей доступа;

• логика, зависящая от времени или меняющихся состояний;

• распределенная логика между UI, сервисами, командами, сторонними API;

• разные конфигурации на проде (он-прем, A/B-тесты и др.);

• неявные допущения и race conditions;

• строковый матчинг и регулярные выражения;

• избыточное количество условных операторов (if-ы).

Также спикер рассказал про 10 рэд флагов в процессе разработки — действиях ИТ-специалистов, которые приводят к узким местам в ПО. Юрий предложил использовать подход SRI (Security Risk Indicator) — индикатор уверенности в наличии рисков безопасности.

Зрители трансляции услышали, насколько важен постоянный мониторинг приложений для раннего выявления угроз. В качестве средств защиты привел:

• Observability платформу GMONIT, которая сокращает время и затраты на поиск технических сбоев за счет комплексного покрытия ИТ-систем и предиктивного анализа метрик.

• Service map, демонстрирующий активную эксплуатацию SSRF.

• Поиск уязвимостей в зависимостях.

• Анализ процессов на хостах для обнаружения подозрительной активности, например запуска новых процессов или нетипичного роста потребления ресурсов.

Кроме того, эксперт напомнил о необходимости учитывать модель STRIDE еще на этапе проектирования архитектуры, чтобы изначально минимизировать вероятность возникновение инцидентов.

В завершении онлайн-мероприятия предложил разработчикам настольную игру «Elevation of Privilege (EoP) Threat Modeling Card Game» от Microsoft, которая помогает в игровой форме отрабатывать навыки моделирования угроз.

Предлагаем к просмотру видеозапись выступления:

• ВКонтакте

• Rutube

• YouTube

Источник

GMONIT
еще 54 публикации

Лучшее в блогах

27.11.2025

Новости НРФ’9: официальный журнал доступен в цифровом формате

23 часа назад

Итоги конференции Group4Media «Этот год — следующий год. Искусство эффективности»

23 часа назад

Кейс UM, Points Lab, АДВ+Эндемика и «Самолет»: как с математической точностью измерить эффективность маркетинга в недвижимости

Вчера

«Сбер, где всё возможно»: банк создал музыкальный HR-манифест

Вам понравится

Sendsay

20 часов назад

Почему digital-брендам пора менять подход к диалогу с клиентами?

IT и инновации Маркетинг

Sendsay запустила инструмент обогащения данных для прогнозирования клиентского спроса в digital.

PR-CY

Вчера

SEO чек-лист из 80+ пунктов: традиционное SEO, ИИ-поиск и не только (часть 1)

Digital IT и инновации

Сделал обширный чек-лист, который объединяет основы SEO и главные принципы взаимодействия с ИИ-поиском.

Demis Group

13.11.2025

Онлайн-конференция Demis PRO: Маркетинг для клиник

Digital Маркетинг

Если пациенты не приходят к вам — значит, они уже у конкурентов.

Otclick

05.11.2025

AdTech-компания Otclick на медиафоруме «Енисей 2025»: современные технологии в медиарекламе

Digital IT и инновации

Тимур Спиридонов, сопредседатель комитета AI/ML Ассоциации Развития Интерактивной Рекламы (АРИР) и исполнительный директор AdTech-компании Otclick, поделится с посетителями главного медийного события Сибири знаниями о современных технологиях в медиарекламе, которые построены на генеративном ИИ, об алгоритмах машинного обучения и больших данных, а также о том, как новые технологии уже поменяли привычный нам медиаландшафт.