Безопасная разработка — это не только сканеры, анализ кода и проверки перед релизом. На практике многие проблемы появляются гораздо раньше: в требованиях, архитектуре, выборе сторонних компонентов, работе с подрядчиками, low-code/no-code-проектах и использовании LLM-инструментов.
В эфире AM Live разберём, как сделать РБПО частью качественной разработки, а не формальным комплаенсом. Обсудим, кто должен отвечать за безопасность ПО, как вовлекать разработчиков, какие мировые и отечественные стандарты помогают выстроить процесс, какую роль играют ГОСТ Р 56939-2024 и требования ФСТЭК, а также почему безопасность должна появляться в продукте до написания кода.
Отдельно поговорим о контроле стороннего кода, композиционном анализе, архитектуре, поверхности атаки, low-code/no-code и LLM. Главная идея эфира: безопасное ПО нельзя “досканировать” в конце — его нужно проектировать, разрабатывать и сопровождать как качественный инженерный продукт.
Ключевые вопросы дискуссии:
- РБПО как культура качества, а не формальность
- Что сегодня правильно понимать под разработкой безопасного программного обеспечения?
- Разработка безопасного программного обеспечения - это про безопасность, качество или комплаенс?
- Как меняются требования ФСТЭК России к безопасной разработке?
- Почему безопасность часто появляется слишком поздно - уже перед релизом или после инцидента?
- Кто должен отвечать за безопасность ПО в компании?
- Как обучить и вовлечь разработчиков в безопасную разработку?
- Как подружить бизнес-требования и требования безопасности?
- Как сделать так, чтобы РБПО помогало разработке, а не тормозило её?
- Модель угроз и контроль стороннего кода
- Как своевременно учесть требования безопасности на этапе создания архитектуры продукта?
- Что такое поверхность атаки ПО и зачем её описывать при разработке?
- Как модель угроз помогает сформулировать требования безопасности?
- Какие ошибки чаще всего допускают при проектировании безопасной архитектуры?
- Какие требования ФСТЭК и отечественные подходы важно учитывать разработчикам ПО?
- Почему сторонний код стал одной из главных зон риска в РБПО?
- Композиционный анализ и контролируемый репозиторий - это уже база Enterprise-разработки?
- Что такое кодскоринг стороннего программного обеспечения и зачем он нужен?
- Как контролировать безопасность подрядной разработки и внешних поставщиков ПО?
- Как учитывать low-code/no-code и LLM-инструменты в общей системе РБПО?
- Итоги и прогнозы
- Какие стандарты и методологии помогут выстроить зрелый процесс РБПО в ближайшие 1–2 года?
- Какие практики РБПО станут must-have в ближайшие годы?
- ТОП-3 рекомендации для компаний, которые хотят усовершенствовать процесс РБПО?
Приглашенные эксперты:
|
|
Данила Луцив Руководитель продуктов направления Vulnerability Management (VS, SPC, ASOC), Security Vision |
 |
Антон Прокофьев Директор центра Центр разработки решений по контролю безопасности ПО, ГК «Солар» |
 |
Андрей Смирнов Руководитель отдела безопасности приложений и инфраструктуры, F6/Эфшесть |
 |
Дмитрий Шмойлов Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» |
 |
Владимир Тележников Директор департамента анализа безопасности, «Группа Астра» |
 |
Давид Ордян Генеральный директор, Метаскан |
 |
Кирилл Самосадный Руководитель направления защищённой разработки, SolidLab Group |
Модераторы:
|
|
Александр Савин Руководитель службы информационной безопасности, CDEK |
