Зачастую понятие Product Security путают с процессами Application Security. Однако продуктовая безопасность — это совокупность различных направлений безопасности, включая и Application, и System, и Infrastructure, и реагирование на инциденты, и — что самое важное — продуктовую работу по улучшению «безопасных» фичей и функциональности самого приложения. Таким образом, Product Security — эта та мера качества продукта, которая показывает, насколько в целом безопасным является данный продукт или сервис.

Данный доклад рассказывает об опыте становления продуктовой безопасности с нуля, о наиболее критических ошибках, сделанных в процессах ИБ, и успешных стратегиях, которые позволили создать продукт, удовлетворяющий основным требованиям крупных Enterprise-компаний. В докладе будут освещены ключевые составляющие успешной продуктовой стратегии, в том числе организация команды ИБ, ее взаимодействие с техническими инженерами и продуктовыми менеджерами, культура и основные процессы ИБ. Все это в конечном счете позволило сформировать основные принципы Product Security Framework для создания безопасных продуктов.

Все, кто анализирует код того или иного веб-приложения, сталкиваются с проблемами при поиске уязвимостей на клиентской стороне, а именно в JavaScript. С одной стороны, в силу своей природы JavaScript трудно поддается статическому анализу, с другой — как таковых типов уязвимостей там не так уж много, но команде безопасности находить их надо, и желательно делать это не с помощью grep, а автоматически.