Годовая программа обмена опытом, разборов кейсов, обсуждения задач крупнейших заказчиков

Безопасная разработка (SDL). Подходы и инструменты управления процессом

16 февраля 2023 | конференция | конференц-зал 4
10:00 — 16:00

SDL DAY. Безопасная разработка. Подходы и инструменты управления процессом

Модераторы: Андрей Мирошкин, ООО “Гротек”; Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“.

 

В фокусе конференции реальный опыт по внедрению безопасной разработки и практики пост-релизного сопровождения, актуальные изменения в ГОСТах и сертификации процессов безопасной разработки и их суть. 
Практический опыт внедрения SDL в компаниях: предпосылки, затраты, поиск кадров, технические и инструментальные средства, плюсы и минусы для бизнеса. Собственные наработки в области инструментов и методик SDL, в т.ч. opensource, вопросы образования и инноваций в современных реалиях, лучшие и худшие практики безопасной разработки.

Партнеры SDL сообщества
 Базальт СПО              БЕЛЛСОФТ              Infracode             LOGO_НТЦ Фобос

Видеозапись конференции

Дмитрий Пономарев, НТЦ Фобос-НТ

Сообщество энтузиастов под эгидой Центра компетенций ФСТЭК России и ИСП РАН

Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“

Елена Чернобривченко, Базальт СПО

ОС "Альт" — платформа информационной безопасности

10.10 — 10.30

Елена Чернобривченко, эксперт по информационной безопасности Базальт СПО

ОС “Альт” — старейший отечественный Линукс-дистрибутив, формируемый на основе открытого репозитория Сизиф, поддерживающий максимально широкую линейку процессорных архитектур. Участники команды Альта являются ведущими представителями отечественного OpenSource-сообщества.

Александр Дроздов, БЕЛЛСОФТ
Алексей Кузнецов, БЕЛЛСОФТ

Axiom JDK: безопасная разработка

10.30 — 10.50

Александр Дроздов, инженер по информационной безопасности, компания БЕЛЛСОФТ
Алексей Кузнецов, директор по работе с партнерами Axiom JDK, компания БЕЛЛСОФТ

В составе стека доверенных Java технологий команда предлагает Axiom JDK Certified, сертифицированную ФСТЭК платформу Java. Инженерное ядро компании сформировано из разработчиков OpenJDK, которые имеют 25-летний опыт разработки Java и вносят активный вклад в развитие платформы. Технологии линейки Axiom JDK реализованы в концепции жизненного цикла безопасной разработки (SDL, Secure Development Lifecycle), что обеспечивает безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.

Инфраструктура SDLC и внешняя разработка

Инфраструктура SDLC и внешняя разработка

10.50 — 11.10

Александр Астахов, генеральный директор ООО "Инфракод"

Infracode - команда профессионалов, имеющих прикладной опыт в разработке, внедрении и сопровождении контейнерных платформ с адаптацией практик DevSecOps под нужды заказчика

Светлана Газизова, Swordfish Security

Безопасный DevOps

11.30 — 11.50

Светлана Газизова, руководитель направления аудита и консалтинга в области безопасной разработки Swordfish Security


Введение - две триады информационной безопасности. Почему нужно быть на 2 шага вперед? Что делать? Как делать? Кому делать?Хороший процесс – это и есть результат.

Команда Swordfish  за 10-лет приобрела опыт построения процессов безопасной разработки в Тинькофф Банк, Сбербанк, ВТБ, Альфа-Банк, Ростелеком, Kaspersky Lab, Домклик и у многих других. Линейка собственных продуктов включает Стингрей (анализ защищенности мобильный приложений),  Фактор.Блок (защита контура разработки от вредоносного Open Source), AppSec.Hub (оркестрация ИБ инструментов и автоматизация проверок защищенности). Что особенно приятно – компания создает обучающие программы, облегчающие развитие корпоративной культуры безопасности и внедрение devSecOps.

Степан Харитонов, КСБ-СОФТ

Как выжить в мире безопасной разработки?

11.50 — 12.10

Степан Харитонов, руководитель центра сертификации ООО "КСБ-СОФТ"

Холдинг КСБ-СОФТ/Кейсистемс не только яркий представитель высококлассного регионального разработчика и интегратора, в т.ч. в области ИБ, но и активный сторонник развития образовательных программ в регионе. Сотрудники организации оказывают технологическую и методическую помощь кафедрам ЧГУ, подписано трехстороннее партнерство с ИСП РАН по внедрению фундаментальных образовательных и практических программ в области кибербезопасности.

Тернистый путь построения процессов SDL

12.10 — 12.30

Максим Карчевский, руководитель GR-направления R-Vision


Руководитель GR-направления разработчика средств защиты информации R-Vision расскажет, на какие "грабли" и "трамплины" пришлось наступить при построении процессов безопасной разработки. К чему нужно быть готовым, если только встал на этот путь, и каких результатов можно достичь в обозримом будущем.

R-Vision - яркий пример современного отечественного разработчика, пришедшего к SDL под влиянием ФСТЭК России, и ставшего одним из наиболее активных и значимых участников сообщества. В силу контейнерной природы разрабатываемых в компании СЗИ, коллеги обладают широкой практической экспертизой подготовки таковых продуктов к испытаниям, в том числе участвовали в создании Требований к Средствам контейнеризации.

Валерий Попов, Postgres Professional

Опыт внедрения SDL в компании Postgres Professional

12.50 — 13.10

Валерий Попов, руководитель отдела информационной безопасности Postgres Professional


Опыт внедрения SDL в разработке СУБД Postgres Pro. Кроме традиционного статического анализа кода, модульного и регрессионного тестирования, используем многообразие методов динамического анализа. Некоторые очень успешные в плане обнаружения ошибок, и даже уязвимостей, а от некоторых пока только надеемся получить результаты. 

Компания развивает российское сообщество пользователей PostgreSQL: конференции, русскоязычная документация, учебные курсы и система профессиональной аттестации и многое другое.

Одни из ведущих мировых контрибьюторов в postgresql, в частности создатели NoSQL-составляющей (json и jsonb), организаторы крупнейших в России postgres-конференций (pgconf) . Компания является одним из самых последовательных сторонников возрождения традиций академического системного образования в России.

Андрей-Кузнецов, Фобос
Роман-Борзов, Фобос

Радости и горести современной сертификации

13.10 — 13.30

Андрей Кузнецов, Роман Борзов, ведущие инженеры ИЛ НТЦ “Фобос-НТ“


Ведущие инженеры испытательной лаборатории поделятся опытом внедрения SDL-практик в процесс разработки программного обеспечения, расскажут о преимуществах уже внедренных SDL-практик при проведении сертификационных испытаний, а также, об артефактах, полученных при исследовании программного обеспечения в процессе сертификационных испытаний.

Научно-технический центр "Фобос-НТ" ведет деятельность в сфере высоких информационных технологий и предоставляет услуги в области защиты информации совместно с другими предприятиями группы компаний “Навигатор”. Испытательная лаборатория НТЦ аккредитована во всех основных отечественных системах сертификации и является пионером сертификационных испытаний в продвигаемой ФСТЭК России парадигме “SDL First”. Сотрудники ИЛ являются энтузиастами культуры безопасной и качественной разработки и системного подхода к образованию специалистов.

Александр Дубинин, YADRO

SDL, надежность и инженерная культура

13.30 — 13.50

Александр Дубинин, инженер-консультант, YADRO


В докладе будет отражена связь SDL (как неотъемлемой части жизненного цикла продукта) с качеством создаваемого продукта, его надежностью и функциональностью. К рассмотрению предлагаются те аспекты, про которые часто забывают - системные подходы к проектированию архитектуры, документированию и прослеживанию пути от "хотелок" к реализации, типовые проблемы в этой области и способы их решения. Будут показаны важность инженерной культуры в процессе разработки, варианты ее развития и продвижения в сфере IT через образование и сообщества.

YADRO – группа российских технологических компаний, объединяющая направления разработки и производства вычислительных платформ, систем обработки и хранения данных, телекоммуникационного и сетевого оборудования, персональных и «умных» устройств, микропроцессорных ядер и fabeless-микропроцессоров. Инженеры YADRO, а это большая часть (77%) сотрудников, в создаваемых продуктах используют и развивают авангардные технологии, основанные на лучших принципах и методах, составляющих наследие инженерной мысли и культуры.

Сергей Деев, Ростелеком-Солар

Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар"

13.50 — 14.10

Сергей Деев, менеджер продукта Solar appScreener, компании "Ростелеком-Солар"    

"Ростелеком-Солар" – творческая команда, которая с энтузиазмом следит за тенденциями в сфере безопасности ПО, применяет новые подходы в своих технологиях и делится накопленным опытом с сообществом. Разработанный в Солар продукт Solar appScreener – это удобный инструмент статического и динамического анализа, поддерживающий возможность анализа кода на 36 языках, проверку мобильных и веб приложений. Его использование может помочь в выстраивании процессов безопасной разработки.

Алексей Смирнов, Profiscope

Три этюда о защите цепочки поставки программного обеспечения

14.10 — 14.30

Алексей Смирнов, генеральный директор Profiscope


OpenSource компоненты участвуют в сборках программных продуктов наряду с собственными разработками организаций. Как и собственный код, эти компоненты обладают своими плюсами и минусами с точки зрения надежности, качества и безопасности для бизнеса. В докладе отмечаются особенности плохих практик управления защитой цепочки поставки и приводятся практические шаги по взятию ситуации под контроль.

Российская компания Profiscope – разработчик средств автоматизированного аудита исходных кодов, которые применяются для обеспечения процессов безопасной разработки (SDL), а также для проведения технических аудитов. Компания представляет собственную разработку – систему композиционного анализа CodeScoring, которая обеспечивает защиту цепочки поставки и анализ рисков связанных с применением заимствованных (OpenSource) компонентов.

Андрей Орлов, Ideco

Жизнь Ideco в парадигме SDL

14.30 — 14.50

Андрей Орлов, руководитель отдела сертификации компании "Айдеко"


В докладе расскажем о том, каких результатов мы достигли, внедрив SDL, какие инструменты и подходы используем, как помогаем сообществу и что получаем взамен.

Коллектив Айдеко в дополнительном представлении среди участников сообщества не нуждается. Эта небольшая команда из Екатеринбурга является энтузиастами безопасной и качественной разработки ещё с тех времён, когда это не было мейнстримом. Найти и зарепортить баги в оптимизаторе компилятора clang, на добровольной основе вписаться в пилотное тестирование системы определения поверхности атаки Natch, сэкономить много денег на вычислителе, организовав выполнение тяжелых вычислительных задач в облаке - диапазон увлечений Марка и его команды практически безграничен!

Константин Степанов, ЦОД  Ростелеком

ЦОД в Санкт-Петербурге как часть геораспределенной сети дата-центров РТК-ЦОД. Особенности инфраструктуры

Константин Степанов, директор по развитию ЦОД ПАО "Ростелеком"

Тема уточняется

Secure Software Development Life Cycle Processes (SDLC) Innuy  Innuy Secure Software Development sq

Круглый стол “Безопасная разработка в современных реалиях”

15.00 — 16.00

Модератор: Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“


Поиск и подготовка кадров: где искать и где обучать, взаимодействие с образовательными учреждениями. Инструменты и автоматизация: какой функциональности в инструментах не хватает, как построен процесс оркестрации безопасной и качественной разработки. Видение векторов развития нормативно-правовой базы: какие интересные методики/практики жизненного цикла безопасной разработки стоило бы добавить в качестве обязательных/рекомендуемых,  какие области нормативно-правовой базы нуждаются в дальнейшем развитии

В обсуждениях участвуют: Вартан Падарян (ИСП РАН), Дмитрий Шмойлов (Лаборатория Касперского), приглашенные эксперты.

Лука Сафонов, АО Синклит

Мастер-класс АО Синклит | 11:00 — 12:00

Чекап безопасности: типовые проверки, которые вы можете сделать сами, но почему-то не делаете

Лука Сафонов, технический директор АО "Синклит"

На мастер-классе рассмотрим способы проверки безопасности собственных продуктов, без использования сложных средств и методик.

Андрей_Федотов, ИСПРАН
Алексей_Вишняков, ИСПРАН

Мастер-класс ИСП РАН | 12:10 — 13:10

Поиск ошибок в фреймворке машинного обучения PyTorch при помощи Sydr

Андрей Федотов, Алексей Вишняков, ИСП РАН

На мастер-классе рассмотрим применение гибридного фаззинга (AFL++/libFuzzer в комбинации  с Sydr) с целью поиска ошибок в фреймворке PyTorch. Воспользуемся предикатами безопасности, позволяющими находить ошибки выхода за границу буфера и целочисленного переполнения, и проведём анализ найденных аварийных завершений с помощью открытого инструмента Casr.

Название темы доклада

hosted by Jenny Underwood


Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Название темы доклада

hosted by Jenny Underwood


Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Название темы доклада

hosted by Jenny Underwood


Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.

Мастер-класс R-Vision | 13:10 — 14:10

Проверка кода на уязвимости в процессе разработки

Эрик Костандян, инженер по тестированию безопасности R-Vision

Команда R-Vision продемонстрирует pipiline на примере одного из продуктов компании: специалисты R-Vision сгенерируют пример сервиса с уязвимостями, а затем, вместе с участниками МК, отследят реакцию системы на попытку его публикации.

Татьяна Куцовол, Ростелеком-Солар

Мастер-класс Ростелеком-Солар | 14:10 — 15:10

Анализ уязвимостей в мобильных и веб-приложениях с применением статического анализатора

Татьяна Куцовол, технический лидер отдела разработки Ростелеком-Солар

Обсудим общий подход автоматизированного поиска уязвимостей при помощи AppScreener в мобильных и веб-приложениях, покажем как работать с результатами и разберем интересные кейсы на реальных приложениях!

ИА Монитор

Ознакомительный номер издания ИА Монитор "Виртуализация. Облачные структуры. Системы хранения данных"

Мониторинг отраслевых СМИ от Информационного Агентства "Монитор"

 

Подписка на бюллетени сэкономит десятки часов рабочего времени, помогает отследить новости регулирования, продукты и решения, кейсы и намерения игроков рынка, аналитические статьи и экспертные мнения.