В Москве по инициативе и под эгидой Microsoft прошла практическая конференция Secure Software Development Conference

...

Это первое в России мероприятие, ориентированное на профессиональных разработчиков, руководителей разработки и архитекторов программного обеспечения, используемого в областях с высокими требованиями к безопасности и защищенности. Конференцию посетили более 200 специалистов ведущих российских компаний и государственных организаций в области разработки и внедрения ПО, а к онлайн-трансляции присоединилось более 24 тысяч разработчиков со всей страны.



Открывая конференцию, Директор по технологической политике Microsoft в России Олег Сютин отметил: «С ростом важности и сложности решаемых российской ИТ-индустрией задач быстро растет уровень требований к защищенности ПО, которые могут быть обеспечены только во взаимодействии отечественных разработчиков и международных поставщиков технологий. Для решения этой задачи нужны серьезные совместные усилия и постоянный профессиональный диалог. Именно поэтому мы организовали эту конференцию, которая должна стать регулярной, и открываем в России постоянно действующий Центр компетенции в области безопасности, криптографии, интероперабельности и технологического соответствия».

Информационные технологии стали существенным фактором обеспечения надежности, эффективности и безопасности в самых разных отраслях – от транспорта, связи и финансов, до государственного управления, здравоохранения и образования. Во всех этих областях широко применяется программное обеспечение, построенное на платформе и с использованием инструментальных средств корпорации Microsoft. Закономерно, что опыт и разработки Microsoft в этой области вызывают большой интерес у отечественных специалистов и приобретают все большее значение для повышения зрелости российской ИТ-инфраструктуры.

В свое время компания Microsoft в числе первых столкнулась с действительно масштабными попытками злонамеренного нарушения нормального функционирования своих продуктов, отвечая на этот вызов радикально изменила подход к процессу разработки, и, в результате, существенно повысила устойчивость своего ПО к различным категориям угроз. Для координации усилий в этой области, для разработки и внедрения методологии защищенной разработки, а также для решения еще более широкого круга задач безопасности, таких как защита персональных данных пользователей, в Microsoft было создано специальное подразделение – Microsoft Trustworthy Computing Group (TwC). Именно его сотрудники разработали и продолжают развивать, пожалуй, наиболее признанную сейчас методологию защищенной разработки – Secure Development Lifecycle (SDL), а также подходы к обеспечению целостности ПО в процессе разработки с участием нескольких партнеров – Software Integrity Framework.

О текущем состоянии и особенностях использования этих подходов участники конференции узнали из первых рук – от ведущих специалистов TwC. С подробными докладами о создании защищенного окружения разработки и организации защиты артефактов критически важных проектов, о принципах защиты облачных и веб-приложений, о перспективных подходах и научных исследованиях в области тестирования и верификации выступили сотрудники Microsoft Research и Microsoft в России. А докладчики из Intel представили механизмы повышения защищенности, реализованные в новых процессорах этой компании.

Материалы и записи выступлений конференции Microsoft Secure Software Development Conference будут опубликованы в ближайшее время, следите за объявлениями на ресурсах для разработчиков Microsoft. Дополнительная информация о конференции доступна на сайте mssdcon.ru.

В рамках конференции также было анонсировано создание первого в России Клуба директоров по разработке – chiefindev.ru. Это сообщество руководителей по разработке и тестированию ПО, целью которого является налаживание диалога между участниками рынка, обмен мнениями по актуальным темам в области разработки современного и качественного ПО и поиск возможных путей решения проблем. В настоящее время свое участие в Клубе подтвердили ведущие эксперты и руководители отделов разработки крупнейших российских и зарубежных компаний, таких как Sitronics, Microsoft, «Лаборатория Касперского», «ВымпелКом», МТС, «Альфа-Банк». В повестку работы Клуба уже включено несколько встреч на такие темы, как: технологии тестирования, эффективность внедрения инструментария ALM, гибкие методологии разработки, гетерогенные целевые среды и др.

Регулярные встречи клуба будут проходить в формате круглых столов с участием приглашенных экспертов, но в закрытом режиме, что позволит обсуждать в том числе вопросы, связанные с разработкой конкретных проектов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

iOS и iPadOS 17.4.1 устранили уязвимость удалённого выполнения кода

Apple раскрыла немного подробностей относительно одного из последних обновлений, вышедших на прошлой неделе, — iOS и iPadOS 17.4.1. Оказалось, апдейты устраняют опасную уязвимость, способную привести к удалённому выполнению кода.

Как пишет корпорация, уязвимость, получившая идентификатор CVE-2024-1580, затрагивает следующие модели «яблочных» устройств:

  • iPhone XS и более поздние;
  • iPad Pro (12,9 дюйма) и более поздние;
  • Первое поколение 11-дюймового iPad Pro и более поздние;
  • Третье поколение iPad Air и более поздние;
  • iPad mini пятого поколения и более поздние.

Корень CVE-2024-1580 кроется в библиотеке с открытым исходным кодом — dav1d AV1 (используется для декодирования AV1-видео на многих платформах и девайсах), допускающей запись за пределами границ.

В iOS и iPadOS от бреши страдают два компонента: фреймворк Core Media, предназначенный для обработки мультимедийных данных, и имплементация WebRTC.

Чтобы полностью избавить пользователей от CVE-2024-1580, Apple выпустила патчи для браузера Safari, а также систем macOS Sonoma и VenturavisionOS. За информацию об уязвимости корпорация поблагодарила исследователи из команды Google Project Zero.

Есть мнение, что Apple не сразу опубликовала разъяснения к апдейтам именно потому, что разработчики считают CVE-2024-1580 опасной проблемой.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru