От сертификации СЗИ к сертификации РБПО 

Дмитрий Пономарев, заместитель генерального директора - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Баумана кафедра ИУ10;
Андрей Мирошкин, генеральный директор компании Гротек

Конференция является практически единственной площадкой, позволяющей наиболее активным участникам сообщества, -– коммерческим компаниям и организациям, – обмениваться информацией о реалиях внедрения практик разработки безопасного ПО, укреплять горизонтальные связи в кругу единомышленников, демонстрировать собственную ставку на то, что именно безопасная и качественная разработка это "конкурентное преимущество XXI века", узнать опыт реализации актуальных требований лицензиатов ФСТЭК России в компаниях-передовиках и, в конечном итоге, провести время в приятной компании.

• С чего начиналось внедрение безопасной разработки в проектах Базиса
• Унификация DevSecOps-конвейера
• Что изменилось после прохождения сертификации

• Применение и совершенствование техник разработки безопасного ПО для продуктов “Базальт СПО” и независимых репозиториев свободного ПО, лежащих в их основе, а также инструментов разработки, входящих в инфраструктуру компании;
• Историческая справка о происхождении и развитии проекта Sisyphus (Сизиф) по созданию и поддержанию в актуальном состоянии репозитория свободного ПО и его стабильных ветвей;
• Создание продуктов для построения технологически независимой ИТ-инфраструктуры на базе стабильных ветвей репозитория Sisyphus - на примере продуктовой линейки семейства ОС "Альт"

• Неочевидные проблемы при первом погружении в SDL
• Самостоятельная разработка безопасного ПО vs поддержка со стороны интегратора
• Типовые сценарии по выстраиванию SDL-процессов в компании
• Построение процессов SDL с командой КСБ-СОФТ: преимущества и выгоды

• Ретроспектива: с чего все начиналось в ГК МТС
• Безопасная разработка в вендоре кибербезопасности
• Путь трансформации: планы, прогнозы, вызовы
• Значимость РБПО для отрасли
  

Николай Шаплов, ведущий инженер-разработчик Postgres Professional
Валерий Попов, руководитель отдела информационной безопасности Postgres Professional

Компания Postgres Professional ежеквартально выпускает обновления СУБД линейки Postgres Pro, которые имеют сертификаты соответствия ФСТЭК России, а также их несертифицированные издания. Каждая сертифицированная СУБД поддерживает до 4 мажорных версий ядра PostgresPro, сейчас это 13, 14, 15, 16, для наиболее популярных сертифицированных и несертифицированных ОС. Регулярная сертификация такого количества продуктов является огромной организационной и технической задачей, которую невозможно решить без четко работающих процессов безопасной разработки ПО и максимальной автоматизации всего процесса сертификационных испытаний. За прошедший год мы существенно развили наши методики, кроме выпуска обновлений прошли несколько сертификаций полного цикла. Расскажу об основных решениях в разработке и тестировании своего ПО в соответствии с требованиями нормативных документов ФСТЭК России. С учетом тенденции к увеличению объема производимого ПО с неизбежностью встает вопрос о переходе на сертификацию самого процесса разработки безопасного ПО. И компания Postgres Professional к этому готова.

Андрей Кузнецов, заместитель директора департамента внедрения и развития практик РБПО, НТЦ Фобос-НТ
Леонид Ревякин, инженер НТЦ Фобос-НТ
Елена Быханова, инженер НТЦ Фобос-НТ

• Как изменилась команда лаборатории при работе в парадигме РБПО
• Преимущества совместного анализа критических компонент
• Автоматизация определения поверхности атаки, восстание машин началось
• Аудит как сторонний взгляд на процессы разработки

Кирилл Стуженов, руководитель направления, Центр компетенций информационной безопасности, группа компаний "Гарда"

В современной разработке ПО автоматизация фаззинг-тестирования в CI является одним из важных показателей уровня зрелости безопасной разработки. Данный подход эффективно выявляет уязвимости, сокращает время на исправление и обеспечивает раннее обнаружение потенциальных угроз. Гарда практикует создание собственных фаззинг ферм с помощью bugbane и omnifuzz.

• Автоматизация фаззинг-тестирования в CI повышает эффективность обнаружения уязвимостей
• Фаззинг-тестирование в контейнерах под управлением bugbane
• Оркестрация контейнеров через omnifuzz
• Автоматическое тестирование с использованием фаззинга в CI способствует раннему выявлению недостатков кода

Сергей Анненков, руководитель отдела исследования уязвимостей ПО, ООО "АМИКОН"  

• Специфика разработки наших программно-аппаратных комплексов - стек и традиции.
• Истории об интеграции средств статического анализа.
• Наш путь к фаззинг-тестированию - первые шаги с новыми инструментами.

Антон Башарин, технический директор ООО "Свордфиш Секьюрити"

• Основные опасности позднего сканирования
• Почему все борются за shift left / shift everywhere
• Автоматизация обработки результатов и управление процессом безопасной разработки и метрики
  

Александр Дубинин, инженер-консультант, YADRO

Существенной частью процесса РБПО является создание проектной и программной документации. Как сократить расходы на ее создание и как сделать, чтобы инженеры не испытывали ярких негативных эмоций при слове “документация”, а работали с ней как с обычным кодом - об этом и пойдет речь в докладе.

Мастер-класс Солар | 10:45 – 11:45

Татьяна Куцовол, ведущий аналитик-исследователь ИБ, ГК "Солар"

1. Общее понятие безопасности цепочки поставок (Supply Chain) в контексте разработки.   
2. Отличие безопасности Supply Chain от привычного SCA (Software Composition Analysis) анализа. 
3. Методы, используемые злоумышленниками для манипуляций с зависимостями.    
4. Оценка риска компрометации через цепочку поставок (Supply Chain) зависимостей.

Мастер-класс Start X | 12:00 – 13:00

Артемий Богданов, сооснователь компании, CHO (Chief Hacking Officer) в Start X

Мы проведем квиз на базе теста Security Champion от Start X. Участники разберут реальные кейсы, связанные с конкретными задачами разработчика и DevOps. Им предстоит изучить кейс, понять код и за ограниченное время выбрать из предложенных вариантов тот, который позволит исправить уязвимость.

Кейсы отличаются по сложности и проверяют пять важных навыков безопасной разработки: Вывод информации в браузер (XSS), Предотвращение CRLF, Предотвращение RCE, DevSecOps, Работа с SQLВ конце каждого задания подробно рассмотрим правильный ответ и расскажем о минусах остальных вариантов. 

Мастер-класс Innostage | 13:15 – 14:15

Дмитрий Кокорин, руководитель команды центра практической ИБ Innostage;
Альберт Насритдинов, менеджер по работе с ключевыми заказчиками Innostage;
Евгений Сурков, менеджер продуктов Innostage
Айдар Фатыхов, Product Owner NGSC Innostage

Поговорим о методологии обеспечения киберустойчивости Innostage и её роли в подготовке нашей собственной инфраструктуры к программе Bug Bounty. Вместе пройдём путь от контроля устойчивости работы всех цифровых сервисов компании до реагирования на конкретный инцидент ИБ. Покажем, как мы отслеживаем состояние бизнес-процессов и активов в реальном времени. Продемонстрируем набор используемых нами инстру-ментов, наиболее оптимальный для службы ИБ в условиях нехватки специалистов

Мастер-класс ИСП РАН | 14:30 – 15:30

Даниил Куц, сотрудник ИСП РАН

На мастер-классе рассмотрим организацию процесса непрерывного фаззинга в среде GitLab с помощью инструмента Sydr-fuzz. Поговорим о роли фаззинга в общей концепции безопасной разработки ПО. На примере open-source приложений проведем гибридный фаззинг, целенаправленный поиск ошибок и обработку найденных аварийных завершений. Покажем автоматизацию данных процессов с помощью пайплайнов GitLab и выгрузку ошибок в DefectDojo.