Как встроить безопасность в процесс разработки ПО: практика, ошибки, решения
Сегодня говорим о том, как выстроить безопасную разработку ПО в условиях реального бизнеса и растущих угроз. Что помогает, а что мешает внедрению безопасных практик? Как адаптировать DevSecOps и Secure SDLC под российские реалии? Как применять ГОСТ Р 56939-2024 без формализма? 💬 В эфире: — Живое обсуждение с экспертами — Реальные кейсы и факапы — Инструменты: от SAST и SCA до контроля секретов — Безопасность в LLM, low-code, CI/CD — Ответы на вопросы из чата 📌 Оставайтесь с нами до конца — будет разбор частых ошибок, рекомендации и практические советы для разработчиков, ИБ и архитекторов. ⭐️ Модератор: Пономарев Дмитрий, сотрудник НТЦ Фобос-НТ / ИСП РАН / МГТУ им. Баумана ИУ10 Спикеры: 1. Роман Андреенко, руководитель разработки продукта SafeERP, компания «Газинформсервис» 2. Дмитрий Шмойлов, руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» 3. Михаил Парфенов, главный архитектор по ИБ, DPA Analytics 4. Антон Михайлов, владелец продукта SASTAV, ITD Group 5. Евгений Тодышев, руководитель направления безопасной разработки, УЦСБ 6. Ирина Гефнер, заместитель начальника Управления ФСТЭК России 7. Светлана Газизова, Руководитель направления построения процессов безопасной разработки Positive Technologies Тайм-коды: 00:12:48 Введение 00:18:43 Культура безопасной разработки 00:27:26 Обсуждение РБПО 00:32:44 Мировые стандарты РБПО 00:33:30 Подходы к безопасной разработке 00:34:28 Методологии и фреймворки 00:35:25 Адаптация зарубежных фреймворков 00:36:19 Конкурентоспособность российских компаний 00:36:51 Вопрос о восточных методологиях 00:37:11 Ресурсы для веб-разработки 00:38:51 Изучение подходов компаний 00:40:47 История стандартов по безопасной разработке 00:42:44 Развитие стандартов 00:43:41 Текущие и будущие стандарты 00:46:45 Перспективы развития 00:47:05 Образование и мотивация в безопасности 00:48:58 Безопасность технологий и ИИ 00:49:53 Ответственность программистов 00:51:33 Влияние опыта на отношение к ошибкам 00:55:01 Зрелость безопасной разработки 00:56:48 Автоматизированное обучение 00:57:08 Привлечение разработчиков к безопасности 00:58:07 Бизнес-требования и безопасность 00:59:02 Безопасность как часть качества 01:00:04 Сложность стандартов 01:01:35 Безопасность low-code и no-code проектов 01:04:28 Риски искусственного интеллекта 01:05:58 Моделирование угроз 01:06:52 Проблемы безопасности платформ 01:07:50 Методика ВДВ и интерпретаторы 01:08:48 Меры по обеспечению безопасности 01:10:37 Рекомендации по контейнеризации 01:12:07 Печальные истории ошибок 01:14:13 Пример утечки данных 01:16:16 Ошибки в процессе разработки 01:17:11 Выбор инструментов и технологий 01:18:59 Введение в технологии РБПО 01:19:45 Композиционный анализ 01:21:36 Контроль репозиториев в энтерпрайзах 01:23:21 Достижимость уязвимостей 01:26:14 Безопасность на уровне архитектуры 01:30:06 Проблемы и решения в микросервисах 01:31:40 Микросервисная архитектура 01:32:36 Преимущества микросервисной архитектуры 01:33:50 Поверхность атаки 01:37:35 База данных как поверхность атаки 01:39:32 Аутентифицированный пользователь как поверхность атаки 01:42:02 Роль статического анализа кода 01:42:58 Этапы разработки и автоматизация 01:43:57 Проблемы SAST и их решение 01:44:52 Многодвигательный анализ 01:45:47 Проверка языков программирования 01:46:47 Развитие SAST и новые подходы 01:47:45 Статический анализ и его требования 01:48:45 Определение динамического анализа 01:50:41 Роль динамического анализа в обнаружении проблем 01:53:33 Различие между фазингом и динамическим анализом 01:54:40 Фронтенд-безопасность и FAST 01:57:29 Моделирование угроз для фронтенд-приложений 01:59:18 Комплексная защита CI/CD 02:00:14 Риски атак на CI/CD 02:01:06 Роль информационной безопасности 02:01:48 Инструменты и репорты 02:02:38 Защита сборочной среды 02:03:56 Критичность пайплайнов 02:04:45 Проверка собранного кода 02:06:58 Требования к инструментам РБПО 02:09:43 Импортозамещение 02:18:45 Эшелонированная оборона 02:21:52 Искусственный интеллект и безопасность 02:22:45 Будущее ИИ 02:23:21 Консорциум по безопасности ИИ 02:24:19 Коммерческие рекомендации и собственные разработки 02:25:10 Роль ИИ в повседневной жизни 02:26:57 Проблемы традиционных инструментов анализа 02:29:45 Эксплуатация ИИ для повышения безопасности 02:34:29 Безопасность в облаках 02:35:47 Поздравление Ильи Шабанова 02:37:55 Пожелания от коллектива 02:38:47 Заключительные пожелания Смотрите запись прямо сейчас!
Сегодня говорим о том, как выстроить безопасную разработку ПО в условиях реального бизнеса и растущих угроз. Что помогает, а что мешает внедрению безопасных практик? Как адаптировать DevSecOps и Secure SDLC под российские реалии? Как применять ГОСТ Р 56939-2024 без формализма? 💬 В эфире: — Живое обсуждение с экспертами — Реальные кейсы и факапы — Инструменты: от SAST и SCA до контроля секретов — Безопасность в LLM, low-code, CI/CD — Ответы на вопросы из чата 📌 Оставайтесь с нами до конца — будет разбор частых ошибок, рекомендации и практические советы для разработчиков, ИБ и архитекторов. ⭐️ Модератор: Пономарев Дмитрий, сотрудник НТЦ Фобос-НТ / ИСП РАН / МГТУ им. Баумана ИУ10 Спикеры: 1. Роман Андреенко, руководитель разработки продукта SafeERP, компания «Газинформсервис» 2. Дмитрий Шмойлов, руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» 3. Михаил Парфенов, главный архитектор по ИБ, DPA Analytics 4. Антон Михайлов, владелец продукта SASTAV, ITD Group 5. Евгений Тодышев, руководитель направления безопасной разработки, УЦСБ 6. Ирина Гефнер, заместитель начальника Управления ФСТЭК России 7. Светлана Газизова, Руководитель направления построения процессов безопасной разработки Positive Technologies Тайм-коды: 00:12:48 Введение 00:18:43 Культура безопасной разработки 00:27:26 Обсуждение РБПО 00:32:44 Мировые стандарты РБПО 00:33:30 Подходы к безопасной разработке 00:34:28 Методологии и фреймворки 00:35:25 Адаптация зарубежных фреймворков 00:36:19 Конкурентоспособность российских компаний 00:36:51 Вопрос о восточных методологиях 00:37:11 Ресурсы для веб-разработки 00:38:51 Изучение подходов компаний 00:40:47 История стандартов по безопасной разработке 00:42:44 Развитие стандартов 00:43:41 Текущие и будущие стандарты 00:46:45 Перспективы развития 00:47:05 Образование и мотивация в безопасности 00:48:58 Безопасность технологий и ИИ 00:49:53 Ответственность программистов 00:51:33 Влияние опыта на отношение к ошибкам 00:55:01 Зрелость безопасной разработки 00:56:48 Автоматизированное обучение 00:57:08 Привлечение разработчиков к безопасности 00:58:07 Бизнес-требования и безопасность 00:59:02 Безопасность как часть качества 01:00:04 Сложность стандартов 01:01:35 Безопасность low-code и no-code проектов 01:04:28 Риски искусственного интеллекта 01:05:58 Моделирование угроз 01:06:52 Проблемы безопасности платформ 01:07:50 Методика ВДВ и интерпретаторы 01:08:48 Меры по обеспечению безопасности 01:10:37 Рекомендации по контейнеризации 01:12:07 Печальные истории ошибок 01:14:13 Пример утечки данных 01:16:16 Ошибки в процессе разработки 01:17:11 Выбор инструментов и технологий 01:18:59 Введение в технологии РБПО 01:19:45 Композиционный анализ 01:21:36 Контроль репозиториев в энтерпрайзах 01:23:21 Достижимость уязвимостей 01:26:14 Безопасность на уровне архитектуры 01:30:06 Проблемы и решения в микросервисах 01:31:40 Микросервисная архитектура 01:32:36 Преимущества микросервисной архитектуры 01:33:50 Поверхность атаки 01:37:35 База данных как поверхность атаки 01:39:32 Аутентифицированный пользователь как поверхность атаки 01:42:02 Роль статического анализа кода 01:42:58 Этапы разработки и автоматизация 01:43:57 Проблемы SAST и их решение 01:44:52 Многодвигательный анализ 01:45:47 Проверка языков программирования 01:46:47 Развитие SAST и новые подходы 01:47:45 Статический анализ и его требования 01:48:45 Определение динамического анализа 01:50:41 Роль динамического анализа в обнаружении проблем 01:53:33 Различие между фазингом и динамическим анализом 01:54:40 Фронтенд-безопасность и FAST 01:57:29 Моделирование угроз для фронтенд-приложений 01:59:18 Комплексная защита CI/CD 02:00:14 Риски атак на CI/CD 02:01:06 Роль информационной безопасности 02:01:48 Инструменты и репорты 02:02:38 Защита сборочной среды 02:03:56 Критичность пайплайнов 02:04:45 Проверка собранного кода 02:06:58 Требования к инструментам РБПО 02:09:43 Импортозамещение 02:18:45 Эшелонированная оборона 02:21:52 Искусственный интеллект и безопасность 02:22:45 Будущее ИИ 02:23:21 Консорциум по безопасности ИИ 02:24:19 Коммерческие рекомендации и собственные разработки 02:25:10 Роль ИИ в повседневной жизни 02:26:57 Проблемы традиционных инструментов анализа 02:29:45 Эксплуатация ИИ для повышения безопасности 02:34:29 Безопасность в облаках 02:35:47 Поздравление Ильи Шабанова 02:37:55 Пожелания от коллектива 02:38:47 Заключительные пожелания Смотрите запись прямо сейчас!