SDL DAY. Безопасная разработка. Подходы и инструменты управления процессом

Партнеры SDL сообщества
                                         

Видеозапись конференции

ОС “Альт” — старейший отечественный Линукс-дистрибутив, формируемый на основе открытого репозитория Сизиф, поддерживающий максимально широкую линейку процессорных архитектур. Участники команды Альта являются ведущими представителями отечественного OpenSource-сообщества.

В составе стека доверенных Java технологий команда предлагает Axiom JDK Certified, сертифицированную ФСТЭК платформу Java. Инженерное ядро компании сформировано из разработчиков OpenJDK, которые имеют 25-летний опыт разработки Java и вносят активный вклад в развитие платформы. Технологии линейки Axiom JDK реализованы в концепции жизненного цикла безопасной разработки (SDL, Secure Development Lifecycle), что обеспечивает безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.

Infracode - команда профессионалов, имеющих прикладной опыт в разработке, внедрении и сопровождении контейнерных платформ с адаптацией практик DevSecOps под нужды заказчика

Введение - две триады информационной безопасности. Почему нужно быть на 2 шага вперед? Что делать? Как делать? Кому делать?Хороший процесс – это и есть результат.

Команда Swordfish  за 10-лет приобрела опыт построения процессов безопасной разработки в Тинькофф Банк, Сбербанк, ВТБ, Альфа-Банк, Ростелеком, Kaspersky Lab, Домклик и у многих других. Линейка собственных продуктов включает Стингрей (анализ защищенности мобильный приложений),  Фактор.Блок (защита контура разработки от вредоносного Open Source), AppSec.Hub (оркестрация ИБ инструментов и автоматизация проверок защищенности). Что особенно приятно – компания создает обучающие программы, облегчающие развитие корпоративной культуры безопасности и внедрение devSecOps.

Холдинг КСБ-СОФТ/Кейсистемс не только яркий представитель высококлассного регионального разработчика и интегратора, в т.ч. в области ИБ, но и активный сторонник развития образовательных программ в регионе. Сотрудники организации оказывают технологическую и методическую помощь кафедрам ЧГУ, подписано трехстороннее партнерство с ИСП РАН по внедрению фундаментальных образовательных и практических программ в области кибербезопасности.

Руководитель GR-направления разработчика средств защиты информации R-Vision расскажет, на какие "грабли" и "трамплины" пришлось наступить при построении процессов безопасной разработки. К чему нужно быть готовым, если только встал на этот путь, и каких результатов можно достичь в обозримом будущем.

R-Vision - яркий пример современного отечественного разработчика, пришедшего к SDL под влиянием ФСТЭК России, и ставшего одним из наиболее активных и значимых участников сообщества. В силу контейнерной природы разрабатываемых в компании СЗИ, коллеги обладают широкой практической экспертизой подготовки таковых продуктов к испытаниям, в том числе участвовали в создании Требований к Средствам контейнеризации.

Опыт внедрения SDL в разработке СУБД Postgres Pro. Кроме традиционного статического анализа кода, модульного и регрессионного тестирования, используем многообразие методов динамического анализа. Некоторые очень успешные в плане обнаружения ошибок, и даже уязвимостей, а от некоторых пока только надеемся получить результаты. 

Компания развивает российское сообщество пользователей PostgreSQL: конференции, русскоязычная документация, учебные курсы и система профессиональной аттестации и многое другое.

Одни из ведущих мировых контрибьюторов в postgresql, в частности создатели NoSQL-составляющей (json и jsonb), организаторы крупнейших в России postgres-конференций (pgconf) . Компания является одним из самых последовательных сторонников возрождения традиций академического системного образования в России.

Ведущие инженеры испытательной лаборатории поделятся опытом внедрения SDL-практик в процесс разработки программного обеспечения, расскажут о преимуществах уже внедренных SDL-практик при проведении сертификационных испытаний, а также, об артефактах, полученных при исследовании программного обеспечения в процессе сертификационных испытаний.

Научно-технический центр "Фобос-НТ" ведет деятельность в сфере высоких информационных технологий и предоставляет услуги в области защиты информации совместно с другими предприятиями группы компаний “Навигатор”. Испытательная лаборатория НТЦ аккредитована во всех основных отечественных системах сертификации и является пионером сертификационных испытаний в продвигаемой ФСТЭК России парадигме “SDL First”. Сотрудники ИЛ являются энтузиастами культуры безопасной и качественной разработки и системного подхода к образованию специалистов.

В докладе будет отражена связь SDL (как неотъемлемой части жизненного цикла продукта) с качеством создаваемого продукта, его надежностью и функциональностью. К рассмотрению предлагаются те аспекты, про которые часто забывают - системные подходы к проектированию архитектуры, документированию и прослеживанию пути от "хотелок" к реализации, типовые проблемы в этой области и способы их решения. Будут показаны важность инженерной культуры в процессе разработки, варианты ее развития и продвижения в сфере IT через образование и сообщества.

YADRO – группа российских технологических компаний, объединяющая направления разработки и производства вычислительных платформ, систем обработки и хранения данных, телекоммуникационного и сетевого оборудования, персональных и «умных» устройств, микропроцессорных ядер и fabeless-микропроцессоров. Инженеры YADRO, а это большая часть (77%) сотрудников, в создаваемых продуктах используют и развивают авангардные технологии, основанные на лучших принципах и методах, составляющих наследие инженерной мысли и культуры.

"Ростелеком-Солар" – творческая команда, которая с энтузиазмом следит за тенденциями в сфере безопасности ПО, применяет новые подходы в своих технологиях и делится накопленным опытом с сообществом. Разработанный в Солар продукт Solar appScreener – это удобный инструмент статического и динамического анализа, поддерживающий возможность анализа кода на 36 языках, проверку мобильных и веб приложений. Его использование может помочь в выстраивании процессов безопасной разработки.

OpenSource компоненты участвуют в сборках программных продуктов наряду с собственными разработками организаций. Как и собственный код, эти компоненты обладают своими плюсами и минусами с точки зрения надежности, качества и безопасности для бизнеса. В докладе отмечаются особенности плохих практик управления защитой цепочки поставки и приводятся практические шаги по взятию ситуации под контроль.

Российская компания Profiscope – разработчик средств автоматизированного аудита исходных кодов, которые применяются для обеспечения процессов безопасной разработки (SDL), а также для проведения технических аудитов. Компания представляет собственную разработку – систему композиционного анализа CodeScoring, которая обеспечивает защиту цепочки поставки и анализ рисков связанных с применением заимствованных (OpenSource) компонентов.

В докладе расскажем о том, каких результатов мы достигли, внедрив SDL, какие инструменты и подходы используем, как помогаем сообществу и что получаем взамен.

Коллектив Айдеко в дополнительном представлении среди участников сообщества не нуждается. Эта небольшая команда из Екатеринбурга является энтузиастами безопасной и качественной разработки ещё с тех времён, когда это не было мейнстримом. Найти и зарепортить баги в оптимизаторе компилятора clang, на добровольной основе вписаться в пилотное тестирование системы определения поверхности атаки Natch, сэкономить много денег на вычислителе, организовав выполнение тяжелых вычислительных задач в облаке - диапазон увлечений Марка и его команды практически безграничен!

Тема уточняется

Поиск и подготовка кадров: где искать и где обучать, взаимодействие с образовательными учреждениями. Инструменты и автоматизация: какой функциональности в инструментах не хватает, как построен процесс оркестрации безопасной и качественной разработки. Видение векторов развития нормативно-правовой базы: какие интересные методики/практики жизненного цикла безопасной разработки стоило бы добавить в качестве обязательных/рекомендуемых,  какие области нормативно-правовой базы нуждаются в дальнейшем развитии

В обсуждениях участвуют: Вартан Падарян (ИСП РАН), Дмитрий Шмойлов (Лаборатория Касперского), приглашенные эксперты.

На мастер-классе рассмотрим способы проверки безопасности собственных продуктов, без использования сложных средств и методик.

На мастер-классе рассмотрим применение гибридного фаззинга (AFL++/libFuzzer в комбинации  с Sydr) с целью поиска ошибок в фреймворке PyTorch. Воспользуемся предикатами безопасности, позволяющими находить ошибки выхода за границу буфера и целочисленного переполнения, и проведём анализ найденных аварийных завершений с помощью открытого инструмента Casr.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Команда R-Vision продемонстрирует pipiline на примере одного из продуктов компании: специалисты R-Vision сгенерируют пример сервиса с уязвимостями, а затем, вместе с участниками МК, отследят реакцию системы на попытку его публикации.

Обсудим общий подход автоматизированного поиска уязвимостей при помощи AppScreener в мобильных и веб-приложениях, покажем как работать с результатами и разберем интересные кейсы на реальных приложениях!

Подписка на бюллетени сэкономит десятки часов рабочего времени, помогает отследить новости регулирования, продукты и решения, кейсы и намерения игроков рынка, аналитические статьи и экспертные мнения.