От сертификации СЗИ к сертификации РБПО
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Генеральный партнер |
Специальный партнер | |||
![]() |
|
|||
Стратегические партнеры |
Партнеры |
|||
![]() |
![]() |
![]() |
|
![]() |
В этом году в рамках ТБ Форума 2024 во второй раз состоялась встреча сообщества, сформировавшегося под эгидой партнерства ФСТЭК России и ИСП РАН по развитию методик, практик и инструментов разработки безопасного ПО. Конференция является практически единственной площадкой, позволяющей наиболее активным участникам сообщества, – коммерческим компаниям и организациям, – обмениваться информацией о реалиях внедрения практик разработки безопасного ПО, укреплять горизонтальные связи в кругу единомышленников
![Дмитрий Пономарев, НТЦ Фобос-НТ](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%9F%D0%BE%D0%BD%D0%BE%D0%BC%D0%B0%D1%80%D0%B5%D0%B2%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png?width=300&height=300&name=%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%9F%D0%BE%D0%BD%D0%BE%D0%BC%D0%B0%D1%80%D0%B5%D0%B2%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png)
![Андрей Мирошкин, Гротек](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9C%D0%B8%D1%80%D0%BE%D1%88%D0%BA%D0%B8%D0%BD%2c%20%D0%93%D1%80%D0%BE%D1%82%D0%B5%D0%BA%20(png).png?width=300&height=300&name=%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9C%D0%B8%D1%80%D0%BE%D1%88%D0%BA%D0%B8%D0%BD%2c%20%D0%93%D1%80%D0%BE%D1%82%D0%B5%D0%BA%20(png).png)
Вступительное слово. Сообщество энтузиастов РБПО под эгидой Центра компетенций ФСТЭК России и ИСП РАН
Дмитрий Пономарев, заместитель генерального директора - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Баумана кафедра ИУ10;
Андрей Мирошкин, генеральный директор компании Гротек
Конференция является практически единственной площадкой, позволяющей наиболее активным участникам сообщества, -– коммерческим компаниям и организациям, – обмениваться информацией о реалиях внедрения практик разработки безопасного ПО, укреплять горизонтальные связи в кругу единомышленников, демонстрировать собственную ставку на то, что именно безопасная и качественная разработка это "конкурентное преимущество XXI века", узнать опыт реализации актуальных требований лицензиатов ФСТЭК России в компаниях-передовиках и, в конечном итоге, провести время в приятной компании.
![Натали Дуботолкова, Базис_sq](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%9D%D0%B0%D1%82%D0%B0%D0%BB%D0%B8%20%D0%94%D1%83%D0%B1%D0%BE%D1%82%D0%BE%D0%BB%D0%BA%D0%BE%D0%B2%D0%B0%2c%20%D0%91%D0%B0%D0%B7%D0%B8%D1%81_sq.png?width=980&height=980&name=%D0%9D%D0%B0%D1%82%D0%B0%D0%BB%D0%B8%20%D0%94%D1%83%D0%B1%D0%BE%D1%82%D0%BE%D0%BB%D0%BA%D0%BE%D0%B2%D0%B0%2c%20%D0%91%D0%B0%D0%B7%D0%B8%D1%81_sq.png)
Как мы пришли к безопасной разработке
- С чего начиналось внедрение безопасной разработки в проектах Базиса
- Унификация DevSecOps-конвейера
- Что изменилось после прохождения сертификации
![Алексей Смирнов, CodeScoring](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B5%D0%B9%20%D0%A1%D0%BC%D0%B8%D1%80%D0%BD%D0%BE%D0%B2%2c%20CodeScoring.jpg?width=300&height=300&name=%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B5%D0%B9%20%D0%A1%D0%BC%D0%B8%D1%80%D0%BD%D0%BE%D0%B2%2c%20CodeScoring.jpg)
Эффективный композиционный анализ. Путь к успешному внедрению и упражнения на статику
![Евгения Крынина, Базальт СПО](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%9A%D1%80%D1%8B%D0%BD%D0%B8%D0%BD%D0%B0%2c%20%D0%91%D0%B0%D0%B7%D0%B0%D0%BB%D1%8C%D1%82%20%D0%A1%D0%9F%D0%9E_sq.png?width=300&height=300&name=%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D1%8F%20%D0%9A%D1%80%D1%8B%D0%BD%D0%B8%D0%BD%D0%B0%2c%20%D0%91%D0%B0%D0%B7%D0%B0%D0%BB%D1%8C%D1%82%20%D0%A1%D0%9F%D0%9E_sq.png)
![Николай Костригин, Базальт СПО](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%9D%D0%B8%D0%BA%D0%BE%D0%BB%D0%B0%D0%B9%20%D0%9A%D0%BE%D1%81%D1%82%D1%80%D0%B8%D0%B3%D0%B8%D0%BD%2c%20%D0%91%D0%B0%D0%B7%D0%B0%D0%BB%D1%8C%D1%82%20%D0%A1%D0%9F%D0%9E_sq.png?width=300&height=300&name=%D0%9D%D0%B8%D0%BA%D0%BE%D0%BB%D0%B0%D0%B9%20%D0%9A%D0%BE%D1%81%D1%82%D1%80%D0%B8%D0%B3%D0%B8%D0%BD%2c%20%D0%91%D0%B0%D0%B7%D0%B0%D0%BB%D1%8C%D1%82%20%D0%A1%D0%9F%D0%9E_sq.png)
ОС Альт - платформа информационной безопасности
Николай Костригин, начальник отдела безопасности разработки ПО, “Базальт СПО”
- Применение и совершенствование техник разработки безопасного ПО для продуктов “Базальт СПО” и независимых репозиториев свободного ПО, лежащих в их основе, а также инструментов разработки, входящих в инфраструктуру компании;
- Историческая справка о происхождении и развитии проекта Sisyphus (Сизиф) по созданию и поддержанию в актуальном состоянии репозитория свободного ПО и его стабильных ветвей;
- Создание продуктов для построения технологически независимой ИТ-инфраструктуры на базе стабильных ветвей репозитория Sisyphus - на примере продуктовой линейки семейства ОС "Альт"
![Степан Харитонов, КСБ-Софт](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%A1%D1%82%D0%B5%D0%BF%D0%B0%D0%BD%20%D0%A5%D0%B0%D1%80%D0%B8%D1%82%D0%BE%D0%BD%D0%BE%D0%B2%2c%20%D0%9A%D0%A1%D0%91-%D0%A1%D0%BE%D1%84%D1%82_sq.png?width=300&height=300&name=%D0%A1%D1%82%D0%B5%D0%BF%D0%B0%D0%BD%20%D0%A5%D0%B0%D1%80%D0%B8%D1%82%D0%BE%D0%BD%D0%BE%D0%B2%2c%20%D0%9A%D0%A1%D0%91-%D0%A1%D0%BE%D1%84%D1%82_sq.png)
Один в поле не воин или как не заплутать на пути внедрения SDL
- Неочевидные проблемы при первом погружении в SDL
- Самостоятельная разработка безопасного ПО vs поддержка со стороны интегратора
- Типовые сценарии по выстраиванию SDL-процессов в компании
- Построение процессов SDL с командой КСБ-СОФТ: преимущества и выгоды
![Денис Шефановский, МТС RED](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%94%D0%B5%D0%BD%D0%B8%D1%81%20%D0%A8%D0%B5%D1%84%D0%B0%D0%BD%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9%2c%20%D0%9C%D0%A2%D0%A1%20RED_sq.png?width=300&height=300&name=%D0%94%D0%B5%D0%BD%D0%B8%D1%81%20%D0%A8%D0%B5%D1%84%D0%B0%D0%BD%D0%BE%D0%B2%D1%81%D0%BA%D0%B8%D0%B9%2c%20%D0%9C%D0%A2%D0%A1%20RED_sq.png)
![Сергей Деев, МТС RED](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%A1%D0%B5%D1%80%D0%B3%D0%B5%D0%B9%20%D0%94%D0%B5%D0%B5%D0%B2%2c%20%D0%9C%D0%A2%D0%A1%20RED_sq.png?width=300&height=300&name=%D0%A1%D0%B5%D1%80%D0%B3%D0%B5%D0%B9%20%D0%94%D0%B5%D0%B5%D0%B2%2c%20%D0%9C%D0%A2%D0%A1%20RED_sq.png)
Трансформация процессов безопасной разработки в МТС RED с учетом рекомендаций ФСТЭК России
Сергей Деев, старший менеджер по продукту МТС RED
- Ретроспектива: с чего все начиналось в ГК МТС
- Безопасная разработка в вендоре кибербезопасности
- Путь трансформации: планы, прогнозы, вызовы
- Значимость РБПО для отрасли
![Николай Шаплов, Postgres Professional](https://www.tbforum.ru/hs-fs/hubfs/%D0%9D%D0%B8%D0%BA%D0%BE%D0%BB%D0%B0%D0%B9%20%D0%A8%D0%B0%D0%BF%D0%BB%D0%BE%D0%B2%2c%20Postgres%20Professional_sq.png?width=300&height=300&name=%D0%9D%D0%B8%D0%BA%D0%BE%D0%BB%D0%B0%D0%B9%20%D0%A8%D0%B0%D0%BF%D0%BB%D0%BE%D0%B2%2c%20Postgres%20Professional_sq.png)
![Валерий Попов, Postgres Professional](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%92%D0%B0%D0%BB%D0%B5%D1%80%D0%B8%D0%B9%20%D0%9F%D0%BE%D0%BF%D0%BE%D0%B2%2c%20Postgres%20Professional_sq.png?width=300&height=300&name=%D0%92%D0%B0%D0%BB%D0%B5%D1%80%D0%B8%D0%B9%20%D0%9F%D0%BE%D0%BF%D0%BE%D0%B2%2c%20Postgres%20Professional_sq.png)
Postgres Professional: путь от SDL к сертификации РБПО
Николай Шаплов, ведущий инженер-разработчик Postgres Professional
Валерий Попов, руководитель отдела информационной безопасности Postgres Professional
Компания Postgres Professional ежеквартально выпускает обновления СУБД линейки Postgres Pro, которые имеют сертификаты соответствия ФСТЭК России, а также их несертифицированные издания. Каждая сертифицированная СУБД поддерживает до 4 мажорных версий ядра PostgresPro, сейчас это 13, 14, 15, 16, для наиболее популярных сертифицированных и несертифицированных ОС. Регулярная сертификация такого количества продуктов является огромной организационной и технической задачей, которую невозможно решить без четко работающих процессов безопасной разработки ПО и максимальной автоматизации всего процесса сертификационных испытаний. За прошедший год мы существенно развили наши методики, кроме выпуска обновлений прошли несколько сертификаций полного цикла. Расскажу об основных решениях в разработке и тестировании своего ПО в соответствии с требованиями нормативных документов ФСТЭК России. С учетом тенденции к увеличению объема производимого ПО с неизбежностью встает вопрос о переходе на сертификацию самого процесса разработки безопасного ПО. И компания Postgres Professional к этому готова.
![Андрей Кузнецов, Фобос НТ](https://www.tbforum.ru/hs-fs/hubfs/%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9A%D1%83%D0%B7%D0%BD%D0%B5%D1%86%D0%BE%D0%B2%2c%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81%20%D0%9D%D0%A2.jpg?width=300&height=300&name=%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9A%D1%83%D0%B7%D0%BD%D0%B5%D1%86%D0%BE%D0%B2%2c%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81%20%D0%9D%D0%A2.jpg)
![Леонид Ревякин, НТЦ Фобос-НТ](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%9B%D0%B5%D0%BE%D0%BD%D0%B8%D0%B4%20%D0%A0%D0%B5%D0%B2%D1%8F%D0%BA%D0%B8%D0%BD%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png?width=300&height=300&name=%D0%9B%D0%B5%D0%BE%D0%BD%D0%B8%D0%B4%20%D0%A0%D0%B5%D0%B2%D1%8F%D0%BA%D0%B8%D0%BD%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png)
![Елена Быханова, НТЦ Фобос-НТ](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%95%D0%BB%D0%B5%D0%BD%D0%B0%20%D0%91%D1%8B%D1%85%D0%B0%D0%BD%D0%BE%D0%B2%D0%B0%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png?width=300&height=300&name=%D0%95%D0%BB%D0%B5%D0%BD%D0%B0%20%D0%91%D1%8B%D1%85%D0%B0%D0%BD%D0%BE%D0%B2%D0%B0%2c%20%D0%9D%D0%A2%D0%A6%20%D0%A4%D0%BE%D0%B1%D0%BE%D1%81-%D0%9D%D0%A2.png)
Разработка без опасности или сертификация безопасного
Андрей Кузнецов, заместитель директора департамента внедрения и развития практик РБПО, НТЦ Фобос-НТ
Леонид Ревякин, инженер НТЦ Фобос-НТ
Елена Быханова, инженер НТЦ Фобос-НТ
- Как изменилась команда лаборатории при работе в парадигме РБПО
- Преимущества совместного анализа критических компонент
- Автоматизация определения поверхности атаки, восстание машин началось
- Аудит как сторонний взгляд на процессы разработки
![Дмитрий Шаньгин, Конфидент](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%A8%D0%B0%D0%BD%D1%8C%D0%B3%D0%B8%D0%BD%2c%20%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%82.jpg?width=300&height=300&name=%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%A8%D0%B0%D0%BD%D1%8C%D0%B3%D0%B8%D0%BD%2c%20%D0%9A%D0%BE%D0%BD%D1%84%D0%B8%D0%B4%D0%B5%D0%BD%D1%82.jpg)
Подводные камни внедрения РБПО
- Сложности выбора инструментов для обеспечения РБПО на практике.
- Сложности формирования команд (дефицит специалистов).
- Участие в центре безопасности ядра линукс и взаимодействие с мировым сообществом.
![Андрей Орлов, Ideco](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9E%D1%80%D0%BB%D0%BE%D0%B2%2c%20Ideco.png?width=300&height=305&name=%D0%90%D0%BD%D0%B4%D1%80%D0%B5%D0%B9%20%D0%9E%D1%80%D0%BB%D0%BE%D0%B2%2c%20Ideco.png)
Жизнь в парадигме SDL
- Опыт внедрения безопасной разработки
- Влияние процессов сертификации на SDL
- Баланс между качеством продукта и скоростью его выпуска
![Кирилл Стуженов, Гарда](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%9A%D0%B8%D1%80%D0%B8%D0%BB%D0%BB%20%D0%A1%D1%82%D1%83%D0%B6%D0%B5%D0%BD%D0%BE%D0%B2%2c%20%D0%93%D0%B0%D1%80%D0%B4%D0%B0_sq.png?width=300&height=300&name=%D0%9A%D0%B8%D1%80%D0%B8%D0%BB%D0%BB%20%D0%A1%D1%82%D1%83%D0%B6%D0%B5%D0%BD%D0%BE%D0%B2%2c%20%D0%93%D0%B0%D1%80%D0%B4%D0%B0_sq.png)
Автоматизация фаззинг-тестирования в CI
Кирилл Стуженов, руководитель направления, Центр компетенций информационной безопасности, группа компаний "Гарда"
В современной разработке ПО автоматизация фаззинг-тестирования в CI является одним из важных показателей уровня зрелости безопасной разработки. Данный подход эффективно выявляет уязвимости, сокращает время на исправление и обеспечивает раннее обнаружение потенциальных угроз. Гарда практикует создание собственных фаззинг ферм с помощью bugbane и omnifuzz.
- Автоматизация фаззинг-тестирования в CI повышает эффективность обнаружения уязвимостей
- Фаззинг-тестирование в контейнерах под управлением bugbane
- Оркестрация контейнеров через omnifuzz
- Автоматическое тестирование с использованием фаззинга в CI способствует раннему выявлению недостатков кода
![Сергей Анненков, АМИКОН](https://www.tbforum.ru/hs-fs/hubfs/%D0%A1%D0%B5%D1%80%D0%B3%D0%B5%D0%B9%20%D0%90%D0%BD%D0%BD%D0%B5%D0%BD%D0%BA%D0%BE%D0%B2%2c%20%D0%90%D0%9C%D0%98%D0%9A%D0%9E%D0%9D.jpg?width=300&height=300&name=%D0%A1%D0%B5%D1%80%D0%B3%D0%B5%D0%B9%20%D0%90%D0%BD%D0%BD%D0%B5%D0%BD%D0%BA%D0%BE%D0%B2%2c%20%D0%90%D0%9C%D0%98%D0%9A%D0%9E%D0%9D.jpg)
Безопасная разработка - наш опыт интеграции инструментов и практик
Сергей Анненков, руководитель отдела исследования уязвимостей ПО, ООО "АМИКОН"
- Специфика разработки наших программно-аппаратных комплексов - стек и традиции.
- Истории об интеграции средств статического анализа.
- Наш путь к фаззинг-тестированию - первые шаги с новыми инструментами.
![Антон Башарин, Свордфиш Секьюрити](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%BD%D1%82%D0%BE%D0%BD%20%D0%91%D0%B0%D1%88%D0%B0%D1%80%D0%B8%D0%BD%2c%20%D0%A1%D0%B2%D0%BE%D1%80%D0%B4%D1%84%D0%B8%D1%88%20%D0%A1%D0%B5%D0%BA%D1%8C%D1%8E%D1%80%D0%B8%D1%82%D0%B8_sq-1.png?width=300&height=300&name=%D0%90%D0%BD%D1%82%D0%BE%D0%BD%20%D0%91%D0%B0%D1%88%D0%B0%D1%80%D0%B8%D0%BD%2c%20%D0%A1%D0%B2%D0%BE%D1%80%D0%B4%D1%84%D0%B8%D1%88%20%D0%A1%D0%B5%D0%BA%D1%8C%D1%8E%D1%80%D0%B8%D1%82%D0%B8_sq-1.png)
Чем грозит опоздание проверки защищенности и как это предотвратить
Антон Башарин, технический директор ООО "Свордфиш Секьюрити"
- Основные опасности позднего сканирования
- Почему все борются за shift left / shift everywhere
- Автоматизация обработки результатов и управление процессом безопасной разработки и метрики
![Александр Дубинин, YADRO](https://www.tbforum.ru/hs-fs/hubfs/%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B0%D0%BD%D0%B4%D1%80%20%D0%94%D1%83%D0%B1%D0%B8%D0%BD%D0%B8%D0%BD%2c%20YADRO.jpg?width=300&height=300&name=%D0%90%D0%BB%D0%B5%D0%BA%D1%81%D0%B0%D0%BD%D0%B4%D1%80%20%D0%94%D1%83%D0%B1%D0%B8%D0%BD%D0%B8%D0%BD%2c%20YADRO.jpg)
Документация как код - это просто!
Александр Дубинин, инженер-консультант, YADRO
Существенной частью процесса РБПО является создание проектной и программной документации. Как сократить расходы на ее создание и как сделать, чтобы инженеры не испытывали ярких негативных эмоций при слове “документация”, а работали с ней как с обычным кодом - об этом и пойдет речь в докладе.
![БР на ТБФ](https://www.tbforum.ru/hs-fs/hubfs/%D0%91%D0%A0%20%D0%BD%D0%B0%20%D0%A2%D0%91%D0%A4.jpg?width=300&height=300&name=%D0%91%D0%A0%20%D0%BD%D0%B0%20%D0%A2%D0%91%D0%A4.jpg)
Круглый стол "От сертификации СЗИ к сертификации РБПО"
Места за круглым столом, традиционно, забронированы за представителями ИСП РАН, Лаборатории Касперского и МЭИ. Три места будут выбраны по итогам голосования, одно резервное — для "приза зрительских симпатий".
Серия мастер-классов от Солар, Start X, Innostage, ИСП РАН | 11:00 — 15:30
Примеры работы с инструментами РБПО, средства и методики безопасной и качественной разработки, анализа защищенности информационных систем
![Татьяна Куцовол, Солар_sq](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%A2%D0%B0%D1%82%D1%8C%D1%8F%D0%BD%D0%B0%20%D0%9A%D1%83%D1%86%D0%BE%D0%B2%D0%BE%D0%BB%2c%20%D0%A1%D0%BE%D0%BB%D0%B0%D1%80_sq.png?width=300&height=300&name=%D0%A2%D0%B0%D1%82%D1%8C%D1%8F%D0%BD%D0%B0%20%D0%9A%D1%83%D1%86%D0%BE%D0%B2%D0%BE%D0%BB%2c%20%D0%A1%D0%BE%D0%BB%D0%B0%D1%80_sq.png)
Безопасность Supply Chain ваших Open Source зависимостей
Мастер-класс Солар | 10:45 – 11:45
Татьяна Куцовол, ведущий аналитик-исследователь ИБ, ГК "Солар"
- Общее понятие безопасности цепочки поставок (Supply Chain) в контексте разработки.
- Отличие безопасности Supply Chain от привычного SCA (Software Composition Analysis) анализа.
- Методы, используемые злоумышленниками для манипуляций с зависимостями.
- Оценка риска компрометации через цепочку поставок (Supply Chain) зависимостей.
![Артемий Богданов, Start X](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D1%80%D1%82%D0%B5%D0%BC%D0%B8%D0%B9%20%D0%91%D0%BE%D0%B3%D0%B4%D0%B0%D0%BD%D0%BE%D0%B2%2c%20Start%20X_sq.png?width=300&height=300&name=%D0%90%D1%80%D1%82%D0%B5%D0%BC%D0%B8%D0%B9%20%D0%91%D0%BE%D0%B3%D0%B4%D0%B0%D0%BD%D0%BE%D0%B2%2c%20Start%20X_sq.png)
Как уязвимости в коде могут привести к реальным инцидентам. Квиз по безопасной разработке для настоящих секьюрити-чемпионов
Мастер-класс Start X | 12:00 – 13:00
Артемий Богданов, сооснователь компании, CHO (Chief Hacking Officer) в Start X
Мы проведем квиз на базе теста Security Champion от Start X. Участники разберут реальные кейсы, связанные с конкретными задачами разработчика и DevOps. Им предстоит изучить кейс, понять код и за ограниченное время выбрать из предложенных вариантов тот, который позволит исправить уязвимость.
Кейсы отличаются по сложности и проверяют пять важных навыков безопасной разработки: Вывод информации в браузер (XSS), Предотвращение CRLF, Предотвращение RCE, DevSecOps, Работа с SQLВ конце каждого задания подробно рассмотрим правильный ответ и расскажем о минусах остальных вариантов.
![Дмитрий Кокорин, Innostage_sq](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%9A%D0%BE%D0%BA%D0%BE%D1%80%D0%B8%D0%BD%2c%20Innostage_sq.png?width=768&height=768&name=%D0%94%D0%BC%D0%B8%D1%82%D1%80%D0%B8%D0%B9%20%D0%9A%D0%BE%D0%BA%D0%BE%D1%80%D0%B8%D0%BD%2c%20Innostage_sq.png)
![Альберт Насритдинов, Innostage_sq](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%BB%D1%8C%D0%B1%D0%B5%D1%80%D1%82%20%D0%9D%D0%B0%D1%81%D1%80%D0%B8%D1%82%D0%B4%D0%B8%D0%BD%D0%BE%D0%B2%2c%20Innostage_sq.png?width=582&height=582&name=%D0%90%D0%BB%D1%8C%D0%B1%D0%B5%D1%80%D1%82%20%D0%9D%D0%B0%D1%81%D1%80%D0%B8%D1%82%D0%B4%D0%B8%D0%BD%D0%BE%D0%B2%2c%20Innostage_sq.png)
![Евгений Сурков, Innostage](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9%20%D0%A1%D1%83%D1%80%D0%BA%D0%BE%D0%B2%2c%20Innostage_sq.png?width=223&height=223&name=%D0%95%D0%B2%D0%B3%D0%B5%D0%BD%D0%B8%D0%B9%20%D0%A1%D1%83%D1%80%D0%BA%D0%BE%D0%B2%2c%20Innostage_sq.png)
![Айдар Фатыхов, Innostage](https://www.tbforum.ru/hs-fs/hubfs/Digital/SS/SS_ADAPT/%D0%90%D0%B9%D0%B4%D0%B0%D1%80%20%D0%A4%D0%B0%D1%82%D1%8B%D1%85%D0%BE%D0%B2%2c%20Innostage.jpg?width=212&height=212&name=%D0%90%D0%B9%D0%B4%D0%B0%D1%80%20%D0%A4%D0%B0%D1%82%D1%8B%D1%85%D0%BE%D0%B2%2c%20Innostage.jpg)
Обеспечение киберустойчивости на практике
Мастер-класс Innostage | 13:15 – 14:15
Дмитрий Кокорин, руководитель команды центра практической ИБ Innostage;
Альберт Насритдинов, менеджер по работе с ключевыми заказчиками Innostage;
Евгений Сурков, менеджер продуктов Innostage
Айдар Фатыхов, Product Owner NGSC Innostage
Поговорим о методологии обеспечения киберустойчивости Innostage и её роли в подготовке нашей собственной инфраструктуры к программе Bug Bounty. Вместе пройдём путь от контроля устойчивости работы всех цифровых сервисов компании до реагирования на конкретный инцидент ИБ. Покажем, как мы отслеживаем состояние бизнес-процессов и активов в реальном времени. Продемонстрируем набор используемых нами инстру-ментов, наиболее оптимальный для службы ИБ в условиях нехватки специалистов
![Куц Даниил, ИСП РАН](https://www.tbforum.ru/hs-fs/hubfs/%D0%9A%D1%83%D1%86%20%D0%94%D0%B0%D0%BD%D0%B8%D0%B8%D0%BB%20%D0%98%D0%A1%D0%9F%20%D0%A0%D0%90%D0%9D.png?width=300&height=310&name=%D0%9A%D1%83%D1%86%20%D0%94%D0%B0%D0%BD%D0%B8%D0%B8%D0%BB%20%D0%98%D0%A1%D0%9F%20%D0%A0%D0%90%D0%9D.png)
Пайплайн динамического анализа с помощью гибридного фаззера Sydr-Fuzz
Мастер-класс ИСП РАН | 14:30 – 15:30
Даниил Куц, сотрудник ИСП РАН
На мастер-классе рассмотрим организацию процесса непрерывного фаззинга в среде GitLab с помощью инструмента Sydr-fuzz. Поговорим о роли фаззинга в общей концепции безопасной разработки ПО. На примере open-source приложений проведем гибридный фаззинг, целенаправленный поиск ошибок и обработку найденных аварийных завершений. Покажем автоматизацию данных процессов с помощью пайплайнов GitLab и выгрузку ошибок в DefectDojo.
*Темы выступлений, фотографии и презентации предоставлены докладчиками.
ТБ Форум 2024
![ТБ](https://www.tbforum.ru/hs-fs/hubfs/photoeditorsdk-export-Dec-08-2023-09-06-31-6324-AM.png?width=2755&height=1823&name=photoeditorsdk-export-Dec-08-2023-09-06-31-6324-AM.png)
13 — 15 февраля 2024
Три дня продуктивных обсуждений
![ИИ](https://www.tbforum.ru/hs-fs/hubfs/%D0%A1%D0%BB%D1%83%D1%88%D0%B0%D1%82%D0%B5%D0%BB%D0%B8%20%D0%A2%D0%91%20%D0%A4%D0%BE%D1%80%D1%83%D0%BC.jpg?width=3500&height=2329&name=%D0%A1%D0%BB%D1%83%D1%88%D0%B0%D1%82%D0%B5%D0%BB%D0%B8%20%D0%A2%D0%91%20%D0%A4%D0%BE%D1%80%D1%83%D0%BC.jpg)
Искусственный интеллект
13 февраля 2024 | Зал 2
![Доверенные ИТ-системы](https://www.tbforum.ru/hs-fs/hubfs/%D0%94%D0%BE%D0%B2%D0%B5%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5%20%D0%98%D0%A2-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B.jpg?width=2048&height=1363&name=%D0%94%D0%BE%D0%B2%D0%B5%D1%80%D0%B5%D0%BD%D0%BD%D1%8B%D0%B5%20%D0%98%D0%A2-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B.jpg)
Отечественные ИТ-системы
15 февраля 2024 | зал 3
Есть о чем рассказать?
Демонстрируйте экспертизу компании, современние решения и эффективные технологии