SecOps Polska Online MeetUp #29

Prelekcja #1:  “Vendors vs. The Truth – Scan Tools and The OWASP Top 10“ - Thomas Konrad

PL

Spójrzmy prawdzie w oczy, bezpieczeństwo nie jest czymś, czym większość programistów i pracowników operacyjnych chce się zajmować. Zajmuje to czas, jest skomplikowane i nikt Wam za to nie podziękuje - w końcu nie ma chwały w zapobieganiu. Dlatego dobrze jest, gdy producenci narzędzi zabezpieczających twierdzą, że są w stanie wyeliminować najbardziej rozpowszechnione i poważne luki w oprogramowaniu. Wystarczy wyłożyć na nie trochę pieniędzy i gotowe. Jak już pewnie się domyślacie, nie jest to takie proste. Kiedy przyjrzymy się bliżej typom podatności, takim jak OWASP Top 10 czy OWASP API Security Top 10, szybko zauważymy, że tylko bardzo niewiele z nich może być wiarygodnie wykrytych przez zautomatyzowane środki, takie jak narzędzia SAST, DAST i IAST. Podczas swojej prelekcji Thomas wyjaśni, dlaczego tak się dzieje i pokaże bardziej zrównoważone podejście do pokrycia typowych typów podatności.

ENG

Let's face it, security is not something most developers or operations people want to deal with. It takes time, it's complicated, no one will thank you for it – after all, there’s no glory in prevention. So it comes in handy when security tool vendors claim that they can cover the most prevalent and severe vulnerabilities in software. Throw some money at them and you're done. Well, as you might have guessed already, it is not that easy. When you have a closer look at common vulnerability types such as the OWASP Top 10 and the OWASP API Security Top 10, you'll see very quickly that only very few of them can even be reliably detected by automated means such as SAST, DAST and IAST tools. In this talk, Thomas will explain why this is the case, and show you a more sustainable approach to covering common vulnerability types.

PL

Thomas Konrad - Senior Security Engineer w Dynatrace, gdzie należy do zespołu ds. architektury bezpieczeństwa i testowania. Skupia się na bezpiecznym tworzeniu oprogramowania, bezpieczeństwie aplikacji internetowych, modelowaniu zagrożeń, projektowaniu bezpiecznego oprogramowania, architekturze i procesach. W tych dziedzinach ma również doświadczenie w prowadzeniu wykładów i szkoleń. W wolnym czasie hobbystycznie zajmuje się baristyką i inteligentnym domem.

ENG

Thomas Konrad - Senior Security Engineer at Dynatrace, where he’s part of the Security Architecture and Testing team. He focuses on secure software development, web application security, threat modeling, secure software design, architecture, and process. In those areas, he also has speaking and training experience. In his spare time, he’s a hobby barista and smart home tinkerer.

_______________________________________________________________________

Lightning talk: “Hakowanie na żywo. Kubernetes z wnętrza podów - cz. III” - Mariusz Dalewski

_______________________________________________________________________

Prelekcja #2: ”Quarkus + Keycloak - autentykacja i autoryzacja w mikroserwisach” - Marek Martofel 

Każdy szanujący się framework do tworzenia mikroserwisów posiada możliwości integracji z mechanizmami bezpieczeństwa, Quarkus również. Keycloak natomiast, jako najbardziej popularny project klasy 'identity and access management' o otwartym kodzie zapewnia szerokie możliwości zarządzania autentykacją i autoryzacją. Łącząc te elementy, w łatwy sposób możemy osiągnąć nasze cele związane z bezpieczeństwem mikroserwisów. Teoretyczny wstęp poparty demonstracją pozwoli nam zrozumieć jak poczuć się komfortowo w temacie ochrony mikroserwisów.

Marek Martofel - rozpoczął karierę IT na początku lat 90. od komputerów mainframe, UNIX, baz danych i oprogramowania middleware. Pracował jako konsultant w firmach Pivotal i Oracle, pomagał klientom w regionie EMEA w projektowaniu i budowaniu platform przetwarzania danych i dostarczania aplikacji. W firmie Red Hat współpracuje z klientami z Europy Środkowo-Wschodniej w projektach modernizacji aplikacji i budowaniu skalowalnych platform dostarczania aplikacji za pomocą Red Hat OpenShift Container Platform.