Содержание: 00:07 Интро о безопасной разработке 00:39 Гарантирует ли сертификат ФСТЭК России безопасность? 02:49 На стороне разработчика 03:25 Скорое обновление ГОСТ по безопасной разработке 04:41 Можно ли заменить сертификацию ФСТЭК на Bug Bounty 05:01 Тезис № 1: Black box vs. White box тестирование 07:10 Тезис № 2: не всё ПО подходит для BB 08:18 Тезис № 3: Bug Bounty как шанс на удачу, а не устойчивый процесс 09:28 Аутро о культуре безопасной разработки

ФСТЭК - бесполезен, вы слишком мягко сказали о том, как они в начале думали, что взяли быка за рога, а в итоге поняли (хорошо, что все таки поняли), что не могут оседлать направление с кокнретикой, теперь пытаются выйти на уровень абстракции, где все должны сами решить свои проблемы, а ФСТЭК типа организатор .... очень эффективно организовывать когда например у тебя разрабы никогда не писавшие безопасный код и не умеющие это делать и которые инфраструктуру линукса видят первый раз в жизни. А к ним приходит ФСТЭК и говорит - а давайте вы такие у себя организуете все безопасно. Т.е. получается безопасность будет в таком продукте на уровне компетенции кодеров, т.е. не пойми какая. Зато у нас регулятор осваивает бюджет. До сих пор интересно каким местом они сертифицировали пакеты линукс образов, сидели код перелопачивали? а потом каждый месяц мы видим с 10ок новых CVE? о каком тогда сертификации речь? шарлатаны продающие бумажку которая по факту пустой звук. А безопасность будет только там где люди и без регуляторов имеют опыт организовать безопасную инфраструктуру в целом, хотя и тут много вопросов закрытому коду и импортному железу. Вы на видео все правильно говорите, но очень мягко обходите проблемы ФСТЭК.

Хотелось бы все таки внести ясность. Правильно ли понимать, что сертификат ФСТЭК на отсутствие НДВ не гарантирует их отсутствие?

Почему они всё ещё не могут сами себе нормальные SSL сертификаты сделать? Не работает даже через chromium ГОСТ и Яндекс браузер)))