Войти через соцсеть:
Войти через email:
В текущих реалиях мы все чаще видим прецеденты атак на цепочки поставок, одной из наиболее нашумевших в последнее время стала заражение XZ Utils и только случайность позволила избежать массового заражения и инцидентов безопасности. Также многие считают, что безопасность цепочек поставок заканчивается на внедрении OSA/SCA решений.
В докладе расскажу о примерах атак, какие угрозы несет в себе использование Open Source и как работать с ними, что при разработке необходимо выстраивать "здоровый" цикл доставки доставки OSS и что атаки на цепочку могут быть не только в процессе использования OSS, но и при сборке ПО или его передаче.
Роль кибербезопасности в разработке ПО чрезвычайна важна. Не всегда удается спроектировать целевую систему в безопасном исполнении. Все говорят о подходах к безопасной разработке, пишут много всяких бумаг, но в реальности не следуют никаким методологиям.
Создание систем с учетом методологий безопасной разработки дело дорогое и ответственное. Где тот баланс, что необходимо и достаточно. Какие риски грозят по пути time to market и далее, если пренебрегать методологиями учета рисков кибербеза при разработке.
Об этом поговорим в докладе.
В рамках мастер-класса на практических примерах рассмотрим:
- Статический анализ кода - как выявлять уязвимости в коде на ранних стадиях разработки;
- Динамический анализ - техники выявления уязвимостей в реальных условиях работы приложения;
- Композиционный анализ - оценка безопасности используемых библиотек и компонентов;
- Фаззинг-тестирование - автоматизация поиска уязвимостей через генерацию случайных данных.
Краткое описание:
Область деятельности, связанная с внедрением процессов и технологий разработки безопасного программного обеспечения очень динамична. В 2024 году обновлен базовый ГОСТ 56939. Актуальность внедрения процессов и технологий РБПО многократно возросла с принятием Постановления Правительства № 1912, посвященного разработке доверенных программно-аппаратных комплексов, применяемых в том числе в АСУ и АСУ ТП, которые относятся к критической информационной инфраструктуре. В докладе будет представлен опыт планирования, организации и внедрения практик РБПО в организации разрабатывающей современные системы комплексы для систем индустриальной автоматики.