Security Engineering

Вводная глава: почему безопасность — это часть архитектуры, какие темы включает раздел и как его проходить.

Практика threat modeling для security и privacy: DFD, STRIDE/LINDDUN и приоритизация архитектурных контролей.

Как применять OWASP Top 10 в архитектуре распределённых систем: threat modeling, архитектурные контроли и безопасные дефолты.

Практическое введение в трио Identification -> Authentication -> Authorization и современные протоколы: OAuth 2.0/OIDC, SAML, WebAuthn, mTLS.

Практический разбор ACL/RBAC/ABAC/ReBAC: как принимается решение доступа, канонические схемы, сравнение trade-offs и границы применимости.

Практическое введение в асимметричное шифрование, PKI/сертификаты, инфраструктуру ключей и работу TLS 1.3.

Практические паттерны защиты API: authn/authz, rate limiting, schema validation, anti-replay, abuse prevention и secure API lifecycle.

Как безопасно управлять секретами: secret stores, rotation, dynamic credentials, encryption-at-rest и operational guardrails.

Практическое введение в Zero Trust: принципы, референс-архитектура, policy enforcement и поэтапное внедрение.

Защита software supply chain: SBOM, dependency hygiene, CI/CD hardening, artifact signing и provenance verification.

Практический дизайн data governance: GDPR, ФЗ-152, data lineage, PII handling, access control и аудит изменений данных.

Практики Google: Zero Trust, defense in depth, secure SDLC, incident response и культура безопасности.

Выступление Christian Grobmeier о кризисе Log4Shell и практических уроках безопасности open source.