Расскажем о новейших методиках анализа безопасности исходного кода. Поговорим о специализированных средствах — анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют. В чем различия SAST, DAST, IAST, FAST и BAST. Какие угрозы исходят от открытого программного обеспечения (open source) и как его контролировать при помощи OSA. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
Ключевые вопросы дискуссии:
- Рынок анализаторов безопасности исходного кода
- Что такое безопасный исходный код?
- Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?
- Как на требования к безопасности кода повлияли события 2022 года?
- Какие самые яркие примеры атак через уязвимости в исходном коде (включая цепочку поставок) в 2022 году?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?
- Каковы основные методики и подходы к повышению безопасности исходного кода?
- Можно ли обойтись организационными мерами и человеческим ресурсом без покупки многочисленных сканеров?
- Как провести проверку безопасности архитектуры и логики разработанного ПО?
- Какие бывают типы анализаторов исходного кода? В чем отличия между SAST, DAST, IAST, FAST и BAST?
- В чем особенности проверки безопасности и контроля компонентов open source? И что такое OSA?
- Практика проверки безопасности исходного кода
- Мы решили заняться безопасностью кода. С чего начать?
- Кто должен проводить проверки: сами разработчики или служба ИБ?
- Каков минимальный набор проверок кода, которые необходимо проводить каждой компании-разработчику?
- На чем основана логика работы сканеров кода и насколько ей можно доверять?
- Работают ли готовые наборы сигнатур и правил из коробки?
- Сканер показал кучу уязвимостей и ошибок. Как убедиться, что это не ложные срабатывания и оценить их критичность?
- На какие рекомендации по устранению уязвимостей и ошибок в коде могут рассчитывать разработчики?
- Как выбрать идеальный анализатор исходного кода?
- Как проверить безопасность приложения, если разработчик по контракту не раскрывает исходные коды?
- Как проверить лицензионную чистоту исходного кода?
- Прогнозы
- Что ожидает рынок в перспективе 2-3 года?
- Появится ли у него четкая российская специфика?
- Как новые подходы к разработке повлияют на этот рынок?
Приглашенные эксперты:
|
|
Денис Кораблев Управляющий директор, директор по продуктам, Positive Technologies |
|
|
Сергей Деев Менеджер продукта Solar appScreener, «Ростелеком-Солар» |
|
|
Анна Архипова Ведущий менеджер по развитию продуктовых решений, ITD Group |
|
|
Дмитрий Шмойлов Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» |
|
|
Юрий Шабалин Ведущий архитектор Swordfish Security |
|
|
Дмитрий Куколев Руководитель группы разработки защищенных и безопасных продуктов, МТС |
|
|
Михаил Волков Руководитель группы департамента сертификации и тестирования, АО "НПО "Эшелон" |
Модераторы:
|
|
Лев Палей Начальник службы информационной безопасности АО «СО ЕЭС» |
