Вторая встреча сообщества РБПО на ТБ Форуме 2024. Опубликованы материалы

В рамках ТБ Форума 2024 уже во второй раз состоялась встреча сообщества, сформировавшегося под эгидой партнерства ФСТЭК России и ИСП РАН по развитию методик, практик и инструментов разработки безопасного ПО. 625 участников конференции обсудили "радости и горести" внедрения РБПО, технические аспекты внедрения положений новых ГОСТов в реальной промышленности, рассмотрели примеры работы с инструментами РБПО, средства и методики безопасной и качественной разработки, анализа защищенности информационных систем. Презентации и запись →

Спонтанно задуманное на рубеже 2022-2023 гг., мероприятие изначально было поддержано ФСТЭК России, и, хотя и являлось по своей сути экспериментом, собрало более 300 очных участников, и столько же онлайн.

Встреча является практически единственной коммерческой площадкой, позволяющей наиболее активным участникам сообщества — коммерческим компаниям и организациям — обмениваться информацией о реалиях внедрения практик разработки безопасного ПО, укреплять горизонтальные связи в кругу друзей и единомышленников, демонстрировать собственную ставку на то, что именно безопасная и качественная разработка это "конкурентное преимущество XXI века", узнавать опыт реализации актуальных требований лицензиатов ФСТЭК России в компаниях-передовиках и, в конечном итоге, проводить время в приятной компании.

В этот раз организаторы решили сохранить формат мероприятия и провести важные улучшения в интересах сообщества:

• доклады основного трека несли не маркетинговый, а инженерный характер, 
• большая часть докладчиков — хорошо знакомые и уважаемые участники сообщества, которых отличает технологическая, инженерная экспертиза,
• треть тайм-слотов была выделена перспективным “новичкам”. 

В программе:

Ведущие: Андрей Мирошкин, генеральный директор компании Гротек,
Дмитрий Пономарев, заместитель генерального директора  - директор департамента внедрения и развития РБПО в НТЦ Фобос-НТ, сотрудник ИСП РАН, преподаватель МГТУ им. Баумана кафедра ИУ10.

Натали Дуботолкова, Инженер DevSecOps "Базис", рассказала о пути проектов Базиса к безопасной разработке. 

Алексей Смирнов, генеральный директор CodeScoring, поднял тему эффективного внедрения композиционного анализа. В докладе спикер раскрыл последовательности действий и целевые показатели, а также объяснил при чем здесь статический анализ.

Евгения Крынина, и.о. коммерческого директора, и Николай Костригин, начальник отдела безопасности разработки ПО, “Базальт СПО" представили платформу информационной безопасности ОС Альт

Степан Харитонов, начальник сектора безопасной разработки и сертификации, КСБ-СОФТ, в своем выступлении осветил неочевидные проблемы при первом погружении в SDL и как сделать процесс внедрения максимально успешным. 

О трансформации процессов безопасной разработки в МТС RED с учетом рекомендаций ФСТЭК России рассказали Денис Шефановский, руководитель Центра платформ кибербезопасности, и Сергей Деев, старший менеджер по продукту МТС RED

О пути от SDL к сертификации РБПО рассказали Николай Шаплов, ведущий инженер-разработчик, и Валерий Попов, руководитель отдела информационной безопасности Postgres Professional

Разработка без опасности или сертификация безопасного – этой теме посвятили свой доклад Андрей Кузнецов, заместитель директора департамента внедрения и развития практик РБПО, Леонид Ревякин, инженер, и Елена Быханова, инженер НТЦ Фобос-НТ

Дмитрий Шаньгин, технический директор Центра защиты информации ГК "Конфидент", в своем докладе сделал акцент на подводных камнях внедрения РБПО

О жизни в парадигме SDL рассказал Андрей Орлов, руководитель отдела сертификации Ideco

Особенностями автоматизации фаззинг-тестирования в CI поделился Кирилл Стуженов, руководитель направления, Центр компетенций информационной безопасности, группа компаний "Гарда"

Сергей Анненков, руководитель отдела исследования уязвимостей ПО, ООО "АМИКОН", поделился опытом интеграции инструментов и практик безопасной разработки 

Чем грозит опоздание проверки защищенности и как это предотвратить – на этот вопрос в своем выступлении ответил Антон Башарин, технический директор ООО "Свордфиш Секьюрити"

Александр Дубинин, эксперт по Информационной Безопасности YADRO, рассказал, как сократить расходы на ее создание и как сделать, чтобы инженеры не испытывали ярких негативных эмоций при слове “документация”, а работали с ней как с обычным кодом 

"От сертификации СЗИ к сертификации РБПО". 
Обсудили технические аспектов внедрения положений новых ГОСТов в реальной промышленности: что больно, что особенно полезно.

В секции мастер-классов представили свои наработки коллеги из ИСП РАН, Солар, Innostage, Start X: примеры работы с инструментами РБПО, средства и методики безопасной и качественной разработки, анализа защищенности информационных систем. Особое место было предоставлено докладу от ИСП РАН, посвященному обновленному фаззеру Sydr, его роли и месту в общем конвейере РБПО.

• Безопасность Supply Chain ваших Open Source зависимостей
  Татьяна Куцовол, ведущий аналитик-исследователь ИБ, ГК "Солар"
  
  
• Как уязвимости в коде могут привести к реальным инцидентам. Квиз по безопасной разработке для настоящих секьюрити-чемпионов
  Артемий Богданов, сооснователь компании, CHO (Chief Hacking Officer) в Start X
  
  
• Обеспечение киберустойчивости на практике
  Дмитрий Кокорин, руководитель команды центра практической ИБ Innostage
  Альберт Насритдинов, менеджер по работе с ключевыми заказчиками Innostage
  Евгений Сурков, менеджер продуктов Innostage
  Айдар Фатыхов, Product Owner NGSC Innostage
  
  
• Пайплайн динамического анализа с помощью гибридного фаззера Sydr-Fuzz
  Даниил Куц, сотрудник ИСП РАН
  
  

Генеральный партнер

Специальный партнер

Стратегические партнеры

Партнеры

Скачать материалы конференции →