SafeCode Live SafeCode
-
- Technology
Подкаст конференции SafeCode. Участники обсуждают вопросы безопасности приложений — от инструментов и процессов безопасной разработки до карьеры в AppSec.
Подробнее о конференции: https://safecodeconf.ru/
-
[SafeCode Live] Как разработке отбиться от очередного ИБ-отчета
На SafeCode 2024 мы уже поговорили, что делать разработчикам, когда к ним «постучались» — и как специалистам по безопасности «стучаться» правильно.
В подкасте более развернуто отвечаем на вопросы:
— какие аргументы использовать обеим сторонам, чтобы найти компромисс?
— как избежать незапланированных изменений и непонятных задач в духе «исправить сейчас же»?
— у кого должен быть рубильник, который останавливает релиз?
В студии снова встретились:
— Дмитрий Шмойлов — руководитель AppSec-подразделения в Kaspersky.
— Алексей Смирнов — основатель платформы композиционного анализа CodeScoring, организатор трека и конференции Code Mining в сообществе ODS․ai.
— Андрей Дмитриев — директор департамента производства в JUG Ru Group. -
[SafeCode Live] Безопасность Modern Web Application
Позвали трех людей, знающих, что такое Application Security не понаслышке.
Ведущий Алексей Федулаев, DevSecOps Team Lead в Wildberries, и гости выпуска — Виктор Бобыльков, CISO в MTS Web Services, Алексей Морозов, руководитель Application Security в Samokat.tech и Александра Сватикова, системный архитектор команды Identity and Access Management в Yandex Cloud — обсуждают:
— что из себя представляет современное веб-приложение и как обеспечивается его безопасность;
— чем занимаются AppSec-инженеры и чем они отличаются от пентестеров;
— и многое другое.
-
[SafeCode Live] Контейнерная безопасность
Участники обсуждают: «первое знакомство» с безопасностью контейнеров; безопасность рантайма контейнеров; типичные недоработки: отсутствие CVE, привилегированный контейнер и не только; инструменты для проверки уязвимостей; усиление защиты контейнеров.
Гости:
— Артем Бачевский, разрабатывает и автоматизирует процессы AppSec. В свободное время занимается исследованием вопросов кибербезопасности.
— Дмитрий Евдокимов, основатель и CTO Luntry.
— Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED. -
[SafeCode Live] Принципы статического анализа кода
Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.
Участники обсуждают:
— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.
Гости:
— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.
— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED. -
[SafeCode Live] Secure by design
Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
что такое Secure by design;
зачем заниматься SBD и стоит ли применять этот подход для каждого продукта;
чем SBD отличается от безопасной разработки;
что делать, если «уже сделано небезопасно»;
может ли SBD-продукт стать небезопасным;
как стать компетентным в SBD;
существуют ли общие концепции и стандарты.
Гости:
Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
-
[SafeCode Live] ML в AppSec
В этом выпуске участники обсуждают:
— кейсы использования AI: от оптимизации SQL-запросов и UI-дизайна до создания плагинов и применения LLM в разработке;
— риски обучения на уязвимом коде;
— естественный язык в Snowflake;
— SecDev (решение задач безопасности) vs DevSec (контроль разработанного)
— «горячую» тему замены ИБ-специалиста ML-решением.
Гости:
— Радда Юрьева, ML-инженер команды AppSec в Positive Technologies.
— Александр Халиков, специалист группы исследований безопасности приложений в Positive Technologies.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies.
Ведущий:
Андрей Дмитриев, сооснователь JUG Ru Group.