Разработка безопасного программного обеспечения (РБПО)

Современное программное обеспечение и его исходный код всё чаще становятся мишенью: от утекших токенов до целевых атак через CI/CD. Разработка ПО с учётом требований безопасности – больше не роскошь, а обязательный процесс, который экономит деньги организации.

В прямом эфире AM Live мы разберём, как внедрить безопасность в каждую фазу жизненного цикла разработки ПО: от создания модели угроз, разработки концепции продукта и его архитектуры, до контроля секретов, композиционного анализа (SCA), использования сканеров исходного кода (SAST, DAST) и управления уязвимостями.

Обсудим рабочие практики, частые ошибки, реальные кейсы и новый российский ГОСТ Р 56939-2024 как каркас зрелости процессов РБПО.

Ключевые вопросы дискуссии:

1. Как встроить безопасность в процесс разработки
   • Что обычно становится триггером для внедрения РБПО: инцидент, аудит, клиент?
   • Кто и когда должен сформулировать требования к безопасности разрабатываемого ПО?
   • Какие методологии применяются на практике (Secure SDLC, DevSecOps, ГОСТ Р 56939-2024)?
   • Как проходит обучение и вовлечение разработчиков в тему безопасной разработки?
   • Как правильно учитывать безопасность в low-code/no-code проектах и при работе с LLM?
   • Как управлять найденными уязвимостями: процессы, триаж (triage), баг-репорты?
   • Блиц: Самая дурацкая ошибка в разработке, которая обернулась инцидентом?
2. Технологии обеспечения процесса РБПО
   • Какие этапы жизненного цикла самые уязвимые — и почему?
   • Что считать базовыми элементами безопасности в CI/CD пайплайне?
   • Как разработать и учесть модель угроз (Threat Modeling) при разработке ПО?
   • Как обеспечить контроль доступа к репозиторию исходного кода и среде разработки?
   • Зачем нужен композиционный анализ программного продукта (SCA, Software Composition Analysis)?
   • Какие инструменты анализа кода используются: SAST, DAST, IAST — что реально работает?
   • Где и как безопасно хранить секреты (токены, API-ключи, пароли)?
   • Что эффективнее — отдельные “security review” или интеграция проверки безопасности в обычный “code review”?
   • Как тестировать безопасность приложения перед и после релиза?
   • Блиц. Частые ошибки, которые встречаются в большинстве компаний-разработчиках ПО
3. Итоги и прогнозы
   • Какие этапы разработки потребуют усиления защиты в ближайшие 2 года?
   • Какие инструменты и подходы придут в РБПО с развитием ИИ?
   • Как будет меняться взаимодействие ИБ и разработки?
   • Как будут меняться стандарты и требования регуляторов для РБПО в ближайшее время?

Приглашенные эксперты:

Модераторы: