Как встроить безопасность в процесс разработки ПО: практика, ошибки, решения

Сегодня говорим о том, как выстроить безопасную разработку ПО в условиях реального бизнеса и растущих угроз. Что помогает, а что мешает внедрению безопасных практик? Как адаптировать DevSecOps и Secure SDLC под российские реалии? Как применять ГОСТ Р 56939-2024 без формализма? 💬 В эфире: — Живое обсуждение с экспертами — Реальные кейсы и факапы — Инструменты: от SAST и SCA до контроля секретов — Безопасность в LLM, low-code, CI/CD — Ответы на вопросы из чата 📌 Оставайтесь с нами до конца — будет разбор частых ошибок, рекомендации и практические советы для разработчиков, ИБ и архитекторов. ⭐️ Модератор: Пономарев Дмитрий, сотрудник НТЦ Фобос-НТ / ИСП РАН / МГТУ им. Баумана ИУ10 Спикеры: 1. Роман Андреенко, руководитель разработки продукта SafeERP, компания «Газинформсервис» 2. Дмитрий Шмойлов, руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» 3. Михаил Парфенов, главный архитектор по ИБ, DPA Analytics 4. Антон Михайлов, владелец продукта SASTAV, ITD Group 5. Евгений Тодышев, руководитель направления безопасной разработки, УЦСБ 6. Ирина Гефнер, заместитель начальника Управления ФСТЭК России 7. Светлана Газизова, Руководитель направления построения процессов безопасной разработки Positive Technologies Тайм-коды: 00:00:00 Введение 00:12:10 Начало карьеры в автоматизированной проверке конфигураций 00:12:48 Проблемы и развитие 00:15:03 Качество и безопасность в РБПО 00:16:15 Процесс разработки и безопасность 00:18:22 Ответственность разработчиков 00:20:18 Стандарты и методологии РБПО 00:23:21 Российские наработки 00:24:03 Методологии безопасности 00:25:58 Восточные методологии 00:27:48 Отечественные стандарты 00:29:24 Сертификация и развитие стандартов 00:31:37 Текущие стандарты и эксперименты 00:34:14 Образование и кадры в безопасности 00:36:06 Мотивация и безопасность кода 00:37:14 Ответственность за ошибки 00:38:41 Влияние опыта на отношение к ошибкам 00:40:14 Обучение в университетах 00:40:25 Интерактивное обучение разработчиков 00:42:27 Зрелость в безопасной разработке 00:43:27 Практические методы обучения 00:44:29 Привлечение разработчиков 00:45:17 Бизнес-требования и требования к безопасности 00:46:37 Роль безопасника и качество продукта 00:47:08 Сложность восприятия стандартов 00:48:47 Безопасность в low-code и no-code проектах 00:51:27 Риски использования ИИ 00:53:16 Моделирование угроз и защита 00:54:58 Сложность работы с интерпретаторами 00:55:56 Интеллектуальные затраты и риски 00:57:26 Требования к контейнеризации 00:58:22 Проблемы с сертификацией 01:03:17 Фишинговые письма 01:04:11 Сертификация и фазинг 01:06:11 Композиционный анализ 01:08:42 Контроль репозиториев в крупных компаниях 01:10:24 Композиционный анализ и достижимость 01:13:26 Безопасность на уровне архитектуры 01:16:27 Аутентификация и авторизация в микросервисах 01:18:52 Преимущества микросервисной архитектуры 01:21:02 Введение в тему поверхности атаки 01:21:53 Определение поверхности атаки 01:24:47 Роль базы данных в поверхности атаки 01:27:29 Приоритеты защиты 01:28:25 Переход к анализу поверхности атаки 01:29:02 Испытания и отечественные школы развития 01:29:36 Роль статического анализа кода 01:31:08 Проблемы SAST и их решение 01:32:32 Использование разных движков SAST 01:34:28 Генерация правил для SAST 01:36:44 Динамический анализ 01:38:21 Применение динамического анализа 01:40:04 Динамический анализ и фазинг 01:43:58 Принцип работы FST 01:44:56 Моделирование угроз для фронтенд-приложений 01:46:43 Комплексная защита CI/CD 01:52:22 Целостность и хранение исходников 01:53:10 Интерактив и вопросы из зала 01:54:10 Требования к инструментам РБПО 01:56:07 Опенсорсные инструменты 01:57:07 Импортозамещение 01:59:25 Обсуждение подходов к РБПО 02:01:54 Синергетический подход 02:03:35 Эффект Bug Bounty на мотивацию разработчиков 02:06:28 Ограничения Bug Bounty 02:08:21 Перспективы искусственного интеллекта 02:10:33 Консорциум по безопасности ИИ 02:12:22 Рекомендации по безопасному проектированию 02:12:54 Искусственный интеллект в повседневной жизни 02:14:37 Проблемы безопасности моделей ИИ 02:16:32 Эксплуатация ИИ для повышения безопасности 02:19:42 Рекомендации по внедрению анализаторов безопасности 02:22:10 Безопасность в облачных сервисах 02:24:10 Итоги Смотрите запись прямо сейчас!