SDL DAY на ТБ Форуме 2023. Реальный опыт по внедрению безопасной разработки: опубликованы материалы
Опубликовала Ольга Иншакова 22 февраля 2023 г. 11:00:00 MSK
Сообщество SDL: технические директора, руководители групп безопасной разработки, разработчики и безопасники, тестировщики, пентестеры, энтузиасты безопасной и качественной разработки, участники системы сертификации встретились на конференции "Безопасная разработка (SDL). Подходы и инструменты управления процессом" в рамках ТБ Форума 16 февраля 2023. Материалы конференции →
Вместе с экпретами Базальт СПО, Беллсофт, Синклит, Инфракод, Swordfish Security, КСБ-СОФТ, R-Vision, Postgres Professional, YADRO, Ростелеком-Солар, Profiscope, Айдеко, НТЦ “Фобос-НТ“ и ИСП РАН обсудили практический опыт внедрения SDL в компании: предпосылки, затраты, поиск кадров, технические и инструментальные средства, плюсы и минусы для бизнеса, практики пост-релизного сопровождения, актуальные изменения в ГОСТах и сертификации процессов безопасной разработки. А также собственные наработки в области инструментов и методик SDL, в т.ч. opensource, вопросы образования и инноваций в современных реалиях, лучшие и худшие практики безопасной разработки.
Партнеры SDL сообщества
Практикой, инструментами и экспертизой в рамках конференции поделились:
ОС “Альт” — старейший отечественный Линукс-дистрибутив, формируемый на основе открытого репозитория Сизиф, поддерживающий максимально широкую линейку процессорных архитектур. Участники команды Альта являются ведущими представителями отечественного OpenSource-сообщества.
Безопасная разработка с Axiom JDK: рассказали Александр Дроздов, инженер по информационной безопасности, Алексей Кузнецов, директор по работе с партнерами Axiom JDK, компания БЕЛЛСОФТ
В составе стека доверенных Java технологий команда предлагает Axiom JDK Certified, сертифицированную ФСТЭК платформу Java. Инженерное ядро компании сформировано из разработчиков OpenJDK, которые имеют 25-летний опыт разработки Java и вносят активный вклад в развитие платформы. Технологии линейки Axiom JDK реализованы в концепции жизненного цикла безопасной разработки (SDL, Secure Development Lifecycle), что обеспечивает безопасность систем на их основе как на этапе построения, так и на протяжении всего срока эксплуатации.
Инфраструктура SDLC и внешняя разработка от Александра Астахова, генерального директора ООО "Инфракод"
Infracode - команда профессионалов, имеющих прикладной опыт в разработке, внедрении и сопровождении контейнерных платформ с адаптацией практик DevSecOps под нужды заказчика
Безопасный DevOps:от Светланы Газизовоый, руководителя направления аудита и консалтинга в области безопасной разработки Swordfish Security
Команда Swordfish за 10-лет приобрела опыт построения процессов безопасной разработки в Тинькофф Банк, Сбербанк, ВТБ, Альфа-Банк, Ростелеком, Kaspersky Lab, Домклик и у многих других. Линейка собственных продуктов включает Стингрей (анализ защищенности мобильный приложений), Фактор.Блок (защита контура разработки от вредоносного Open Source), AppSec.Hub (оркестрация ИБ инструментов и автоматизация проверок защищенности). Что особенно приятно – компания создает обучающие программы, облегчающие развитие корпоративной культуры безопасности и внедрение devSecOps.
Как выжить в мире безопасной разработки? Поделился Степан Харитонов, руководитель центра сертификации ООО "КСБ-СОФТ"
Холдинг КСБ-СОФТ/Кейсистемс не только яркий представитель высококлассного регионального разработчика и интегратора, в т.ч. в области ИБ, но и активный сторонник развития образовательных программ в регионе. Сотрудники организации оказывают технологическую и методическую помощь кафедрам ЧГУ, подписано трехстороннее партнерство с ИСП РАН по внедрению фундаментальных образовательных и практических программ в области кибербезопасности.
Тернистый путь построения процессов SDL: Дмитрий Тишкин, руководитель команды Application Security R-Vision, рассказал, на какие "грабли" и "трамплины" пришлось наступить при построении процессов безопасной разработки
R-Vision - яркий пример современного отечественного разработчика, пришедшего к SDL под влиянием ФСТЭК России, и ставшего одним из наиболее активных и значимых участников сообщества. В силу контейнерной природы разрабатываемых в компании СЗИ, коллеги обладают широкой практической экспертизой подготовки таковых продуктов к испытаниям, в том числе участвовали в создании Требований к Средствам контейнеризации.
Опыт внедрения SDL в компании Postgres Professional представил Валерий Попов, руководитель отдела информационной безопасности Postgres Professional
Компания развивает российское сообщество пользователей PostgreSQL: конференции, русскоязычная документация, учебные курсы и система профессиональной аттестации и многое другое. Одни из ведущих мировых контрибьюторов в postgresql, в частности создатели NoSQL-составляющей (json и jsonb), организаторы крупнейших в России postgres-конференций (pgconf) . Компания является одним из самых последовательных сторонников возрождения традиций академического системного образования в России.
Радости и горести современной сертификации. Андрей Кузнецов и Роман Борзов, ведущие инженеры ИЛ НТЦ “Фобос-НТ“ поделились опытом внедрения SDL-практик в процесс разработки программного обеспечения, расскахали о преимуществах уже внедренных SDL-практик при проведении сертификационных испытаний.
Научно-технический центр "Фобос-НТ" ведет деятельность в сфере высоких информационных технологий и предоставляет услуги в области защиты информации совместно с другими предприятиями группы компаний “Навигатор”. Испытательная лаборатория НТЦ аккредитована во всех основных отечественных системах сертификации и является пионером сертификационных испытаний в продвигаемой ФСТЭК России парадигме “SDL First”. Сотрудники ИЛ являются энтузиастами культуры безопасной и качественной разработки и системного подхода к образованию специалистов.
SDL, надежность и инженерная культура: Александр Дубинин, инженер-консультант YADRO, отразил связь SDL с качеством создаваемого продукта, его надежностью и функциональностью.
YADRO – группа российских технологических компаний, объединяющая направления разработки и производства вычислительных платформ, систем обработки и хранения данных, телекоммуникационного и сетевого оборудования, персональных и «умных» устройств, микропроцессорных ядер и fabeless-микропроцессоров. Инженеры YADRO, а это большая часть (77%) сотрудников, в создаваемых продуктах используют и развивают авангардные технологии, основанные на лучших принципах и методах, составляющих наследие инженерной мысли и культуры.
Ключевые аспекты контроля безопасности ПО и безопасной разработки: опыт "Ростелеком-Солар" представил Сергей Деев, менеджер продукта Solar appScreener, компании "Ростелеком-Солар"
"Ростелеком-Солар" – творческая команда, которая с энтузиазмом следит за тенденциями в сфере безопасности ПО, применяет новые подходы в своих технологиях и делится накопленным опытом с сообществом. Разработанный в Солар продукт Solar appScreener – это удобный инструмент статического и динамического анализа, поддерживающий возможность анализа кода на 36 языках, проверку мобильных и веб приложений. Его использование может помочь в выстраивании процессов безопасной разработки.
Три этюда о защите цепочки поставки программного обеспечения. Алексей Смирнов, генеральный директор Profiscope, отметил особенности плохих практик управления защитой цепочки поставки и приводятся практические шаги по взятию ситуации под контроль.
Российская компания Profiscope – разработчик средств автоматизированного аудита исходных кодов, которые применяются для обеспечения процессов безопасной разработки (SDL), а также для проведения технических аудитов. Компания представляет собственную разработку – систему композиционного анализа CodeScoring, которая обеспечивает защиту цепочки поставки и анализ рисков связанных с применением заимствованных (OpenSource) компонентов.
Жизнь Ideco в парадигме SDL. Андрей Орлов, руководитель отдела сертификации компании "Айдеко" рассказал о том, каких результатов достигла компания, внедрив SDL, какие инструменты и подходы использует, как помогает сообществу и что получает взамен.
Коллектив Айдеко в дополнительном представлении среди участников сообщества не нуждается. Эта небольшая команда из Екатеринбурга является энтузиастами безопасной и качественной разработки ещё с тех времён, когда это не было мейнстримом. Найти и зарепортить баги в оптимизаторе компилятора clang, на добровольной основе вписаться в пилотное тестирование системы определения поверхности атаки Natch, сэкономить много денег на вычислителе, организовав выполнение тяжелых вычислительных задач в облаке - диапазон увлечений Марка и его команды практически безграничен!
Круглый стол “Безопасная разработка в современных реалиях”
Модератор: Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ“
Поиск и подготовка кадров: где искать и где обучать, взаимодействие с образовательными учреждениями. Инструменты и автоматизация: какой функциональности в инструментах не хватает, как построен процесс оркестрации безопасной и качественной разработки. Видение векторов развития нормативно-правовой базы: какие интересные методики/практики жизненного цикла безопасной разработки стоило бы добавить в качестве обязательных/рекомендуемых, какие области нормативно-правовой базы нуждаются в дальнейшем развитии
“Погружение” в технические детали, интерактивное взаимодействие и общение с экспертами на мастер-классах:
Чекап безопасности: типовые проверки, которые вы можете сделать сами, но почему-то не делаете: Лука Сафонов (АО Синклит), показал способы проверки безопасности собственных продуктов, без использования сложных средств и методик.
Поиск ошибок в фреймворке машинного обучения PyTorch при помощи Sydr: Андрей Федотов и Алексей Вишняков из ИСП РАН рассмотрели применение гибридного фаззинга (AFL++/libFuzzer в комбинации с Sydr) с целью поиска ошибок в фреймворке PyTorch, показали как пользоваться предикатами безопасности, позволяющими находить ошибки выхода за границу буфера и целочисленного переполнения, и провели анализ найденных аварийных завершений с помощью открытого инструмента Casr.
Проверка кода на уязвимости в процессе разработки: Эрик Костандян (R-Vision) продемонстровал pipiline на примере одного из продуктов компании: сгенерировал пример сервиса с уязвимостями, а затем, вместе с участниками МК, отследил реакцию системы на попытку его публикации.
Анализ уязвимостей в мобильных и веб-приложениях с применением статического анализатора: Татьяна Куцовол (Ростелеком-Солар) представила общий подход автоматизированного поиска уязвимостей при помощи AppScreener в мобильных и веб-приложениях, показала как работать с результатами и разобрала интересные кейсы на реальных приложениях!
- Деловая программа (182)
- ТБ Форум (172)
- Цифровая трансформация (43)
- Промышленность (40)
- Охрана периметра (32)
- ТЭК и нефтегаз (32)
- Пожарная безопасность (27)
- Защита информации и связи, кибербезопасность (25)
- Защита от БПЛА (24)
- Смотр технологий (15)
- Центры обработки данных (ЦОД) (15)
- Киберзащита (11)
- Ритейл (9)
- Транспорт (8)
- Банки и финансы (7)
- Цифровые технологии (7)
- Автоматизация (4)
- Безопасный город (4)
- Бизнес, идеи и мнения (4)
- Видеонаблюдение (4)
- ИТС (4)
- Импортозамещение (4)
- Интеллектуальные транспортные системы (4)
- Информационная безопасность (4)
- Новости (4)
- Новости отрасли (4)
- Пожаротушение (4)
- Системы хранения данных (4)
- Строительство и проектирование, BIM (4)
- Транспортная безопасность (4)
- All-over-IP (3)
- Антитеррор (3)
- AgroTech (2)
- Big Data (2)
- DLP (2)
- HR Tech (2)
- IT-инфраструктура (2)
- LTE и 5G (2)
- Wi-Fi (2)
- e-commerce (2)
- Анализ данных (2)
- Большие данные (2)
- Видеоаналитика (2)
- Встречи с заказчиками (2)
- Газовое оборудование (2)
- ИТ-инфраструктура (2)
- Индустрия 4.0 (2)
- Интервью участников (2)
- Искусственный интеллект (2)
- Критически важные объекты (2)
- Обработка больших данных (2)
- Отрасль (2)
- Промышленная автоматизация (2)
- Регулирование (2)
- Сельское хозяйство (2)
- Ситуационные центры (2)
- Ситуационный центр (2)
- Умный город (2)
- Цифровизация (2)
- Цифровое ЖКХ (2)
- данные (2)
- сети связи (2)
- Аэропорт (1)
- День эксперта (1)
- Комплексная безопасность (1)
- Места с массовым пребыванием людей (1)
- Методы защиты информации (1)
- Умное ЖКХ (1)
- Умный дом (1)
- ФСТЭК (1)
- сентября 2024 (1)
- августа 2024 (3)
- июля 2024 (5)
- июня 2024 (6)
- мая 2024 (6)
- апреля 2024 (7)
- марта 2024 (3)
- февраля 2024 (28)
- января 2024 (15)
- декабря 2023 (25)
- ноября 2023 (1)
- октября 2023 (6)
- сентября 2023 (12)
- августа 2023 (6)
- июля 2023 (10)
- июня 2023 (12)
- мая 2023 (8)
- апреля 2023 (5)
- марта 2023 (9)
- февраля 2023 (42)
- января 2023 (8)
- декабря 2022 (4)
- ноября 2022 (4)
- октября 2022 (4)
- сентября 2022 (12)
- августа 2022 (7)
- июля 2022 (5)
- марта 2022 (1)
- февраля 2022 (1)
- января 2022 (1)
- февраля 2021 (2)
- января 2021 (1)
- декабря 2020 (1)
- июля 2020 (1)
- февраля 2020 (4)
- января 2020 (3)
- декабря 2019 (2)
- ноября 2017 (1)
Поделитесь вашими идеями