Zawodowo zajmuje się testowaniem bezpieczeństwa aplikacji webowych oraz mobilnych. Wcześniej, po drugiej stronie barykady, jako programista brał udział w rozwoju i utrzymaniu platformy klasy BPMS wdrożonej w wielu polskich instytucjach finansowych i ubezpieczeniowych.
Od stycznia 2011 jest w zarządzie OWASP Poland, gdzie zajmuje się organizacją spotkań dotyczących bezpieczeństwa IT. Trener mający za sobą kilkadziesiąt przeprowadzonych szkoleń związanych z tworzeniem i testowaniem bezpieczeństwa oprogramowania. Prelegent m.in. 4Developers, Black Hat Asia, CONFidence, NGSec, SEConference, Testing Cup, TestWell oraz spotkań OWASP.
Speaker skills:
- Web Application Security 96%
- Penetration Testing 92%
- Technical Training 90%
Prelekcje:
Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykładach
W trakcie swojej prezentacji poruszę problematykę utrzymania bezpieczeństwa aplikacji po wdrożeniu produkcyjnym. Na typowych aplikacjach pokażę wyzwania z tym związane, w odniesieniu do konkretnej aplikacji oraz realiów, w jakich funkcjonuje. Wspólnie z uczestnikami przeanalizujemy możliwe mechanizmy mające na celu utrzymanie bezpieczeństwa aplikacji. Zastanowimy się nad optymalnym ich doborem oraz momentem, w którym warto z nich skorzystać, uwzględniając również koszt wykorzystania danego mechanizmu.
Przyjrzymy się mechanizmom takim jak:
• testy penetracyjne
• konsultacje/szkolenia
• definiowanie wymagań dotyczących bezpieczeństwa aplikacji
• narzędzia automatyczne
• monitorowanie podatności w wykorzystywanych komponentach
Postaramy się również wypracować odpowiedzi na poniższe pytania:
• Co można zrobić wewnętrznie?
• Jakie prace zlecić?
• Jakich kompetencji poszukać?
• Jak dobrać szkolenia?
• Jakiego typu narzędzi poszukać?
• Co uwzględnić w rozmowach z dostawcą aplikacji?
Chciałbym dać uczestnikom proste recepty na to, jak zadbać o utrzymanie bezpieczeństwa aplikacji, z którymi pracują.