Опубликовала Ольга Иншакова 22 февраля 2023 г. 11:00:00 MSK
Сообщество SDL: технические директора, руководители групп безопасной разработки, разработчики и безопасники, тестировщики, пентестеры, энтузиасты безопасной и качественной разработки, участники системы сертификации встретились на конференции "Безопасная разработка (SDL). Подходы и инструменты управления процессом" в рамках ТБ Форума 16 февраля 2023. Материалы конференции →
Вместе с экпретами Базальт СПО, Беллсофт, Синклит, Инфракод, Swordfish Security, КСБ-СОФТ, R-Vision, Postgres Professional, YADRO, Ростелеком-Солар, Profiscope, Айдеко, НТЦ “Фобос-НТ“ и ИСП РАН обсудили практический опыт внедрения SDL в компании: предпосылки, затраты, поиск кадров, технические и инструментальные средства, плюсы и минусы для бизнеса, практики пост-релизного сопровождения, актуальные изменения в ГОСТах и сертификации процессов безопасной разработки. А также собственные наработки в области инструментов и методик SDL, в т.ч. opensource, вопросы образования и инноваций в современных реалиях, лучшие и худшие практики безопасной разработки.
Партнеры SDL сообщества
 |
 |
 |
 |
Практикой, инструментами и экспертизой в рамках конференции поделились:
ОС “Альт” — старейший отечественный Линукс-дистрибутив, формируемый на основе открытого репозитория Сизиф, поддерживающий максимально широкую линейку процессорных архитектур. Участники команды Альта являются ведущими представителями отечественного OpenSource-сообщества.
Безопасная разработка с Axiom JDK: рассказали Александр Дроздов, инженер по информационной безопасности, Алексей Кузнецов, директор по работе с партнерами Axiom JDK, компания БЕЛЛСОФТ
В составе стека доверенных Java технологий команда предлагает Axiom JDK Certified, сертифицированную ФСТЭК платформу Java. Инженерное ядро компании сформировано из разработчиков OpenJDK, которые имеют 25-летний опыт разработки Java и вносят активный вклад в развитие платформы. Технологии линейки Axiom JDK реализованы в концепции жизненного цикла безопасной разработки (SDL, Secure Development Lifecycle), что обеспечивает безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.
Инфраструктура SDLC и внешняя разработка от Александра Астахова, генерального директора ООО "Инфракод"
Infracode - команда профессионалов, имеющих прикладной опыт в разработке, внедрении и сопровождении контейнерных платформ с адаптацией практик DevSecOps под нужды заказчика
Безопасный DevOps:от Светланы Газизовоый, руководителя направления аудита и консалтинга в области безопасной разработки Swordfish Security
Команда Swordfish за 10-лет приобрела опыт построения процессов безопасной разработки в Тинькофф Банк, Сбербанк, ВТБ, Альфа-Банк, Ростелеком, Kaspersky Lab, Домклик и у многих других. Линейка собственных продуктов включает Стингрей (анализ защищенности мобильный приложений), Фактор.Блок (защита контура разработки от вредоносного Open Source), AppSec.Hub (оркестрация ИБ инструментов и автоматизация проверок защищенности). Что особенно приятно – компания создает обучающие программы, облегчающие развитие корпоративной культуры безопасности и внедрение devSecOps.
Как выжить в мире безопасной разработки? Поделился Степан Харитонов, руководитель центра сертификации ООО "КСБ-СОФТ"
Холдинг КСБ-СОФТ/Кейсистемс не только яркий представитель высококлассного регионального разработчика и интегратора, в т.ч. в области ИБ, но и активный сторонник развития образовательных программ в регионе. Сотрудники организации оказывают технологическую и методическую помощь кафедрам ЧГУ, подписано трехстороннее партнерство с ИСП РАН по внедрению фундаментальных образовательных и практических программ в области кибербезопасности.
Тернистый путь построения процессов SDL: Дмитрий Тишкин, руководитель команды Application Security R-Vision, рассказал, на какие "грабли" и "трамплины" пришлось наступить при построении процессов безопасной разработки
R-Vision - яркий пример современного отечественного разработчика, пришедшего к SDL под влиянием ФСТЭК России, и ставшего одним из наиболее активных и значимых участников сообщества. В силу контейнерной природы разрабатываемых в компании СЗИ, коллеги обладают широкой практической экспертизой подготовки таковых продуктов к испытаниям, в том числе участвовали в создании Требований к Средствам контейнеризации.
Опыт внедрения SDL в компании Postgres Professional представил Валерий Попов, руководитель отдела информационной безопасности Postgres Professional
Компания развивает российское сообщество пользователей PostgreSQL: конференции, русскоязычная документация, учебные курсы и система профессиональной аттестации и многое другое. Одни из ведущих мировых контрибьюторов в postgresql, в частности создатели NoSQL-составляющей (json и jsonb), организаторы крупнейших в России postgres-конференций (pgconf) . Компания является одним из самых последовательных сторонников возрождения традиций академического системного образования в России.
Радости и горести современной сертификации. Андрей Кузнецов и Роман Борзов, ведущие инженеры ИЛ НТЦ “Фобос-НТ“ поделились опытом внедрения SDL-практик в процесс разработки программного обеспечения, расскахали о преимуществах уже внедренных SDL-практик при проведении сертификационных испытаний.
Научно-технический центр "Фобос-НТ" ведет деятельность в сфере высоких информационных технологий и предоставляет услуги в области защиты информации совместно с другими предприятиями группы компаний “Навигатор”. Испытательная лаборатория НТЦ аккредитована во всех основных отечественных системах сертификации и является пионером сертификационных испытаний в продвигаемой ФСТЭК России парадигме “SDL First”. Сотрудники ИЛ являются энтузиастами культуры безопасной и качественной разработки и системного подхода к образованию специалистов.
SDL, надежность и инженерная культура: Александр Дубинин, инженер-консультант YADRO, отразил связь SDL с качеством создаваемого продукта, его надежностью и функциональностью.
YADRO – группа российских технологических компаний, объединяющая направления разработки и производства вычислительных платформ, систем обработки и хранения данных, телекоммуникационного и сетевого оборудования, персональных и «умных» устройств, микропроцессорных ядер и fabeless-микропроцессоров. Инженеры YADRO, а это большая часть (77%) сотрудников, в создаваемых продуктах используют и развивают авангардные технологии, основанные на лучших принципах и методах, составляющих наследие инженерной мысли и культуры.
Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар" представил Сергей Деев, менеджер продукта Solar appScreener, компании "Ростелеком-Солар"
"Ростелеком-Солар" – творческая команда, которая с энтузиазмом следит за тенденциями в сфере безопасности ПО, применяет новые подходы в своих технологиях и делится накопленным опытом с сообществом. Разработанный в Солар продукт Solar appScreener – это удобный инструмент статического и динамического анализа, поддерживающий возможность анализа кода на 36 языках, проверку мобильных и веб приложений. Его использование может помочь в выстраивании процессов безопасной разработки.
Три этюда о защите цепочки поставки программного обеспечения. Алексей Смирнов, генеральный директор Profiscope, отметил особенности плохих практик управления защитой цепочки поставки и приводятся практические шаги по взятию ситуации под контроль.
Российская компания Profiscope – разработчик средств автоматизированного аудита исходных кодов, которые применяются для обеспечения процессов безопасной разработки (SDL), а также для проведения технических аудитов. Компания представляет собственную разработку – систему композиционного анализа CodeScoring, которая обеспечивает защиту цепочки поставки и анализ рисков связанных с применением заимствованных (OpenSource) компонентов.
Жизнь Ideco в парадигме SDL. Андрей Орлов, руководитель отдела сертификации компании "Айдеко" рассказал о том, каких результатов достигла компания, внедрив SDL, какие инструменты и подходы использует, как помогает сообществу и что получает взамен.
Коллектив Айдеко в дополнительном представлении среди участников сообщества не нуждается. Эта небольшая команда из Екатеринбурга является энтузиастами безопасной и качественной разработки ещё с тех времён, когда это не было мейнстримом. Найти и зарепортить баги в оптимизаторе компилятора clang, на добровольной основе вписаться в пилотное тестирование системы определения поверхности атаки Natch, сэкономить много денег на вычислителе, организовав выполнение тяжелых вычислительных задач в облаке - диапазон увлечений Марка и его команды практически безграничен!
Круглый стол “Безопасная разработка в современных реалиях”
Модератор: Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“
Поиск и подготовка кадров: где искать и где обучать, взаимодействие с образовательными учреждениями. Инструменты и автоматизация: какой функциональности в инструментах не хватает, как построен процесс оркестрации безопасной и качественной разработки. Видение векторов развития нормативно-правовой базы: какие интересные методики/практики жизненного цикла безопасной разработки стоило бы добавить в качестве обязательных/рекомендуемых, какие области нормативно-правовой базы нуждаются в дальнейшем развитии
“Погружение” в технические детали, интерактивное взаимодействие и общение с экспертами на мастер-классах:
Чекап безопасности: типовые проверки, которые вы можете сделать сами, но почему-то не делаете: Лука Сафонов (АО Синклит), показал способы проверки безопасности собственных продуктов, без использования сложных средств и методик.
Поиск ошибок в фреймворке машинного обучения PyTorch при помощи Sydr: Андрей Федотов и Алексей Вишняков из ИСП РАН рассмотрели применение гибридного фаззинга (AFL++/libFuzzer в комбинации с Sydr) с целью поиска ошибок в фреймворке PyTorch, показали как пользоваться предикатами безопасности, позволяющими находить ошибки выхода за границу буфера и целочисленного переполнения, и провели анализ найденных аварийных завершений с помощью открытого инструмента Casr.
Проверка кода на уязвимости в процессе разработки: Эрик Костандян (R-Vision) продемонстровал pipiline на примере одного из продуктов компании: сгенерировал пример сервиса с уязвимостями, а затем, вместе с участниками МК, отследил реакцию системы на попытку его публикации.
Анализ уязвимостей в мобильных и веб-приложениях с применением статического анализатора: Татьяна Куцовол (Ростелеком-Солар) представила общий подход автоматизированного поиска уязвимостей при помощи AppScreener в мобильных и веб-приложениях, показала как работать с результатами и разобрала интересные кейсы на реальных приложениях!
%20Innuy%20%20Innuy%20Secure%20Software%20Development.png?width=1200&height=800&name=Secure%20Software%20Development%20Life%20Cycle%20Processes%20(SDLC)%20Innuy%20%20Innuy%20Secure%20Software%20Development.png)
Поделитесь вашими идеями