На конференции расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
Ключевые вопросы:
1. Рынок анализаторов безопасности исходного кода
- Зачем проверять исходный код на безопасность?
- Почему недостаточно проводить аудит безопасности готового ПО?
- Чем SAST отличается от DAST и кто из них лучше?
- Как безопасно использовать открытое программное обеспечение (open source)?
- Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?
2. Технические особенности анализаторов безопасности исходного кода
- Откуда брать базы уязвимостей?
- Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка != уязвимость)
- На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
- Какие языки программирования поддерживаются сканерами?
- Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
- Как проводить анализ, если подрядчик не раскрывает исходный код?
3. Внедрений анализаторов безопасности исходного кода
- Как убедить разработчиков править свой код?
- Можно ли использовать готовые наборы правил из коробки?
- Насколько необходимо настраивать анализаторы под свою специфику разработки?
- Какая необходима интеграция анализаторов кода с другими системами?
4. Тренды и прогнозы развития рынка
- Что ожидает рынок в перспективе 2-3 года?
- Как новые подходы к разработке повлияют на этот рынок?
- Будут ли SAST и DAST все больше доступны в виде сервиса из облака?
Приглашенные эксперты:
- Анна Архипова, ведущий менеджер по развитию продуктовых решений ITD Group
- Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар»
- Дарья Орешкина, директор по развитию бизнеса Web Control
- Алексей Жуков, эксперт отдела систем защиты приложений, Positive Technologies
- Валерий Куваев, архитектор решений Fortify, Micro Focus
- Артём Синицын, старший руководитель программ ИБ в Центральной и Восточной Европе, Microsoft
Модератор:
- Андрей Бешков, руководитель направления развития бизнеса Softline
