Современное программное обеспечение все чаще становится источником угроз безопасности для различных систем. Известные уязвимости сторонних компонентов и уязвимости нулевого дня в вашем коде, небезопасная архитектура, утечки и целевые атаки на CI/CD в процессе разработки и поддержки ПО – все эти факторы приводят к пониманию, что разработка ПО с учётом требований безопасности – больше не роскошь, а обязательный процесс, который в конечном итоги экономит деньги и разработчиков ПО и владельцев систем.
В прямом эфире AM Live мы разберём, как внедрить принципы РБПО в основные этапы жизненного цикла разработки и поддержки ПО: разработка требований к продукту и его архитектуре, моделирование угроз и определение поверхности атаки, статический и динамический анализ кода и ПО, защита сборочной среды и управление уязвимостям.
Обсудим рабочие практики, виды инструментов анализа, реальные кейсы. Рассмотрим новый российский ГОСТ Р 56939-2024 и семейство уточняющих стандартов как каркас зрелости процессов РБПО. Придем к выводу, что безопасность это часть качества, а разработка в парадигме РБПО на длинной дистанции более эффективна.
Ключевые вопросы дискуссии:
- Культура безопасной и качественной разработки
- Разработка безопасного программного обеспечения (РБПО) - это про безопасность или про качество?
- Какие мировые стандарты и методологии РБПО существуют?
- Какие существуют отечественные стандарты и методологии РБПО?
- Кадры решают все. Как обучить и вовлечь разработчиков в тему безопасной разработки?
- Бизнес-требования и требования к РБПО – что первично и как их подружить в одном продукте?
- Как уже сейчас учитывать безопасность в low-code/no-code проектах и при работе с LLM?
- Блиц: Главные ошибки выбора инструментов и технологий и печальные последствия этого?
- Технологии и инструменты РБПО
- Композиционный анализ и контролируемый репозиторий – “база” Enterprise-разработки?
- Безопасность на уровне архитектуры. Как учесть требования безопасности в решениях от монолита до кубера?
- Что такое “поверхность атаки” ПО – “ширина”, “глубина” и их связь с моделью угроз при разработке ПО?
- Почему статический анализ исходного кода (SAST) – гигиенический минимум?
- Что такое динамический анализ программного обеспечения (DAST)?
- Как выстраивается комплексная защита CI/CD Pipeline?
- Blue Team или Red Team, gcc -Wall или Bug Bounty – что лучше для РБПО?
- Какие требования к инструментам РБПО предъявляет ФСТЭК России?
- ИБ, ИТ и разработка. Конвергенция через “качество” процесса создания бизнес-ценностей, или “в живых останется только один”?
- Итоги и прогнозы
- Искусственный интеллект (ИИ) – это новая угроза безопасности с которой нужно смириться?
- Как ИИ может быть полезен в РБПО: от анализа безопасности ИИ, до применения ИИ в анализе безопасности?
- Три технологии/продукта РБПО для разработчика, решившего ворваться на отечественный регулируемый рынок.
Приглашенные эксперты:
|
|
Роман Андреенко Руководитель разработки продукта SafeERP, «Газинформсервис» |
|
|
Дмитрий Шмойлов Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» |
|
|
Михаил Парфенов Главный архитектор по ИБ, DPA Analytics |
|
|
Антон Михайлов Владелец продукта SASTAV, ITD Group |
|
|
Евгений Тодышев Руководитель направления безопасной разработки, УЦСБ |
|
|
Ирина Гефнер Заместитель начальника Управления ФСТЭК России |
|
|
Светлана Газизова Руководитель направления построения процессов безопасной разработки, Positive Technologies |
Модераторы:
|
|
Дмитрий Пономарев Сотрудник НТЦ Фобос-НТ / ИСП РАН / МГТУ им. Баумана ИУ10 |
