Модераторы: Андрей Мирошкин, ООО “Гротек”; Дмитрий Пономарев, ООО НТЦ “Фобос-НТ“.
В фокусе конференции реальный опыт по внедрению безопасной разработки и практики пост-релизного сопровождения, актуальные изменения в ГОСТах и сертификации процессов безопасной разработки и их суть.
Практический опыт внедрения SDL в компаниях: предпосылки, затраты, поиск кадров, технические и инструментальные средства, плюсы и минусы для бизнеса. Собственные наработки в области инструментов и методик SDL, в т.ч. opensource, вопросы образования и инноваций в современных реалиях, лучшие и худшие практики безопасной разработки.
Партнеры SDL сообщества
Видеозапись конференции
Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“
10.10 — 10.30
Елена Чернобривченко, эксперт по информационной безопасности Базальт СПО
ОС “Альт” — старейший отечественный Линукс-дистрибутив, формируемый на основе открытого репозитория Сизиф, поддерживающий максимально широкую линейку процессорных архитектур. Участники команды Альта являются ведущими представителями отечественного OpenSource-сообщества.
10.30 — 10.50
Александр Дроздов, инженер по информационной безопасности, компания БЕЛЛСОФТ
Алексей Кузнецов, директор по работе с партнерами Axiom JDK, компания БЕЛЛСОФТ
В составе стека доверенных Java технологий команда предлагает Axiom JDK Certified, сертифицированную ФСТЭК платформу Java. Инженерное ядро компании сформировано из разработчиков OpenJDK, которые имеют 25-летний опыт разработки Java и вносят активный вклад в развитие платформы. Технологии линейки Axiom JDK реализованы в концепции жизненного цикла безопасной разработки (SDL, Secure Development Lifecycle), что обеспечивает безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.
10.50 — 11.10
Александр Астахов, генеральный директор ООО "Инфракод"
Infracode - команда профессионалов, имеющих прикладной опыт в разработке, внедрении и сопровождении контейнерных платформ с адаптацией практик DevSecOps под нужды заказчика
11.30 — 11.50
Светлана Газизова, руководитель направления аудита и консалтинга в области безопасной разработки Swordfish Security
Введение - две триады информационной безопасности. Почему нужно быть на 2 шага вперед? Что делать? Как делать? Кому делать?Хороший процесс – это и есть результат.
Команда Swordfish за 10-лет приобрела опыт построения процессов безопасной разработки в Тинькофф Банк, Сбербанк, ВТБ, Альфа-Банк, Ростелеком, Kaspersky Lab, Домклик и у многих других. Линейка собственных продуктов включает Стингрей (анализ защищенности мобильный приложений), Фактор.Блок (защита контура разработки от вредоносного Open Source), AppSec.Hub (оркестрация ИБ инструментов и автоматизация проверок защищенности). Что особенно приятно – компания создает обучающие программы, облегчающие развитие корпоративной культуры безопасности и внедрение devSecOps.
11.50 — 12.10
Степан Харитонов, руководитель центра сертификации ООО "КСБ-СОФТ"
Холдинг КСБ-СОФТ/Кейсистемс не только яркий представитель высококлассного регионального разработчика и интегратора, в т.ч. в области ИБ, но и активный сторонник развития образовательных программ в регионе. Сотрудники организации оказывают технологическую и методическую помощь кафедрам ЧГУ, подписано трехстороннее партнерство с ИСП РАН по внедрению фундаментальных образовательных и практических программ в области кибербезопасности.
12.10 — 12.30
Максим Карчевский, руководитель GR-направления R-Vision
Руководитель GR-направления разработчика средств защиты информации R-Vision расскажет, на какие "грабли" и "трамплины" пришлось наступить при построении процессов безопасной разработки. К чему нужно быть готовым, если только встал на этот путь, и каких результатов можно достичь в обозримом будущем.
R-Vision - яркий пример современного отечественного разработчика, пришедшего к SDL под влиянием ФСТЭК России, и ставшего одним из наиболее активных и значимых участников сообщества. В силу контейнерной природы разрабатываемых в компании СЗИ, коллеги обладают широкой практической экспертизой подготовки таковых продуктов к испытаниям, в том числе участвовали в создании Требований к Средствам контейнеризации.
12.50 — 13.10
Валерий Попов, руководитель отдела информационной безопасности Postgres Professional
Опыт внедрения SDL в разработке СУБД Postgres Pro. Кроме традиционного статического анализа кода, модульного и регрессионного тестирования, используем многообразие методов динамического анализа. Некоторые очень успешные в плане обнаружения ошибок, и даже уязвимостей, а от некоторых пока только надеемся получить результаты.
Компания развивает российское сообщество пользователей PostgreSQL: конференции, русскоязычная документация, учебные курсы и система профессиональной аттестации и многое другое.
Одни из ведущих мировых контрибьюторов в postgresql, в частности создатели NoSQL-составляющей (json и jsonb), организаторы крупнейших в России postgres-конференций (pgconf) . Компания является одним из самых последовательных сторонников возрождения традиций академического системного образования в России.
13.10 — 13.30
Андрей Кузнецов, Роман Борзов, ведущие инженеры ИЛ НТЦ “Фобос-НТ“
Ведущие инженеры испытательной лаборатории поделятся опытом внедрения SDL-практик в процесс разработки программного обеспечения, расскажут о преимуществах уже внедренных SDL-практик при проведении сертификационных испытаний, а также, об артефактах, полученных при исследовании программного обеспечения в процессе сертификационных испытаний.
Научно-технический центр "Фобос-НТ" ведет деятельность в сфере высоких информационных технологий и предоставляет услуги в области защиты информации совместно с другими предприятиями группы компаний “Навигатор”. Испытательная лаборатория НТЦ аккредитована во всех основных отечественных системах сертификации и является пионером сертификационных испытаний в продвигаемой ФСТЭК России парадигме “SDL First”. Сотрудники ИЛ являются энтузиастами культуры безопасной и качественной разработки и системного подхода к образованию специалистов.
13.30 — 13.50
Александр Дубинин, инженер-консультант, YADRO
В докладе будет отражена связь SDL (как неотъемлемой части жизненного цикла продукта) с качеством создаваемого продукта, его надежностью и функциональностью. К рассмотрению предлагаются те аспекты, про которые часто забывают - системные подходы к проектированию архитектуры, документированию и прослеживанию пути от "хотелок" к реализации, типовые проблемы в этой области и способы их решения. Будут показаны важность инженерной культуры в процессе разработки, варианты ее развития и продвижения в сфере IT через образование и сообщества.
YADRO – группа российских технологических компаний, объединяющая направления разработки и производства вычислительных платформ, систем обработки и хранения данных, телекоммуникационного и сетевого оборудования, персональных и «умных» устройств, микропроцессорных ядер и fabeless-микропроцессоров. Инженеры YADRO, а это большая часть (77%) сотрудников, в создаваемых продуктах используют и развивают авангардные технологии, основанные на лучших принципах и методах, составляющих наследие инженерной мысли и культуры.
13.50 — 14.10
Сергей Деев, менеджер продукта Solar appScreener, компании "Ростелеком-Солар"
"Ростелеком-Солар" – творческая команда, которая с энтузиазмом следит за тенденциями в сфере безопасности ПО, применяет новые подходы в своих технологиях и делится накопленным опытом с сообществом. Разработанный в Солар продукт Solar appScreener – это удобный инструмент статического и динамического анализа, поддерживающий возможность анализа кода на 36 языках, проверку мобильных и веб приложений. Его использование может помочь в выстраивании процессов безопасной разработки.
14.10 — 14.30
Алексей Смирнов, генеральный директор Profiscope
OpenSource компоненты участвуют в сборках программных продуктов наряду с собственными разработками организаций. Как и собственный код, эти компоненты обладают своими плюсами и минусами с точки зрения надежности, качества и безопасности для бизнеса. В докладе отмечаются особенности плохих практик управления защитой цепочки поставки и приводятся практические шаги по взятию ситуации под контроль.
Российская компания Profiscope – разработчик средств автоматизированного аудита исходных кодов, которые применяются для обеспечения процессов безопасной разработки (SDL), а также для проведения технических аудитов. Компания представляет собственную разработку – систему композиционного анализа CodeScoring, которая обеспечивает защиту цепочки поставки и анализ рисков связанных с применением заимствованных (OpenSource) компонентов.
14.30 — 14.50
Андрей Орлов, руководитель отдела сертификации компании "Айдеко"
В докладе расскажем о том, каких результатов мы достигли, внедрив SDL, какие инструменты и подходы используем, как помогаем сообществу и что получаем взамен.
Коллектив Айдеко в дополнительном представлении среди участников сообщества не нуждается. Эта небольшая команда из Екатеринбурга является энтузиастами безопасной и качественной разработки ещё с тех времён, когда это не было мейнстримом. Найти и зарепортить баги в оптимизаторе компилятора clang, на добровольной основе вписаться в пилотное тестирование системы определения поверхности атаки Natch, сэкономить много денег на вычислителе, организовав выполнение тяжелых вычислительных задач в облаке - диапазон увлечений Марка и его команды практически безграничен!
Константин Степанов, директор по развитию ЦОД ПАО "Ростелеком"
Тема уточняется
15.00 — 16.00
Модератор: Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“
Поиск и подготовка кадров: где искать и где обучать, взаимодействие с образовательными учреждениями. Инструменты и автоматизация: какой функциональности в инструментах не хватает, как построен процесс оркестрации безопасной и качественной разработки. Видение векторов развития нормативно-правовой базы: какие интересные методики/практики жизненного цикла безопасной разработки стоило бы добавить в качестве обязательных/рекомендуемых, какие области нормативно-правовой базы нуждаются в дальнейшем развитии
В обсуждениях участвуют: Вартан Падарян (ИСП РАН), Дмитрий Шмойлов (Лаборатория Касперского), приглашенные эксперты.
Лука Сафонов, технический директор АО "Синклит"
На мастер-классе рассмотрим способы проверки безопасности собственных продуктов, без использования сложных средств и методик.
Андрей Федотов, Алексей Вишняков, ИСП РАН
На мастер-классе рассмотрим применение гибридного фаззинга (AFL++/libFuzzer в комбинации с Sydr) с целью поиска ошибок в фреймворке PyTorch. Воспользуемся предикатами безопасности, позволяющими находить ошибки выхода за границу буфера и целочисленного переполнения, и проведём анализ найденных аварийных завершений с помощью открытого инструмента Casr.
hosted by Jenny Underwood
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.
hosted by Jenny Underwood
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.
hosted by Jenny Underwood
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed sed ex massa. Maecenas sodales tellus a erat lacinia dignissim. Donec nec arcu ac turpis tempor posuere hendrerit ac lacus.
Эрик Костандян, инженер по тестированию безопасности R-Vision
Команда R-Vision продемонстрирует pipiline на примере одного из продуктов компании: специалисты R-Vision сгенерируют пример сервиса с уязвимостями, а затем, вместе с участниками МК, отследят реакцию системы на попытку его публикации.
Татьяна Куцовол, технический лидер отдела разработки Ростелеком-Солар
Обсудим общий подход автоматизированного поиска уязвимостей при помощи AppScreener в мобильных и веб-приложениях, покажем как работать с результатами и разберем интересные кейсы на реальных приложениях!
Мониторинг отраслевых СМИ от Информационного Агентства "Монитор"
Подписка на бюллетени сэкономит десятки часов рабочего времени, помогает отследить новости регулирования, продукты и решения, кейсы и намерения игроков рынка, аналитические статьи и экспертные мнения.