15 Мая, 2019

PHDays 9: приглашаем на секцию по безопасной разработке

Positive Technologies


На форуме Positive Hack Days 9 в течение двух дней пройдет секция по безопасной разработке сообщества Positive Development User Group . Участников ждут 12 выступлений: в первой части каждого дня пройдут технические доклады, во второй — посвященные бизнес-процессам.

21 мая


Владимир Кочетков и Валерий Пушкарь (Positive Technologies) поделятся опытом разработки эффективного статического анализатора JavaScript-кода, а также продемонстрируют работу анализатора на сложных примерах.

Сергей Хренов (PVS-Studio) расскажет о SAST, CWE, CVE, SEI CERT, DevSecOps и познакомит разработчиков со стандартами программирования, которые помогают создавать надежные приложения.

Доклад Михаила Щербакова (Королевский технологический институт, Швеция) посвящен уязвимостям в процессе десериализации в .NET. Слушатели также узнают, какие сериализаторы .NET уязвимы, какие инструменты можно использовать для поиска уязвимостей, какие payloads известны для .NET-приложений.

Как последовательно прививать безопасную разработку с самого начала обучения, расскажут Александр Чернов (МГУ) и Екатерина Трошина (ВШЭ). Они сформулируют цели и задачи обучения безопасной разработке на примере базовых курсов по низкоуровневому программированию и операционным системам.

Из выступления Сергея Горохова (EPAM Systems) слушатели узнают, как привести программный продукт в соответствие с европейским законом GDPR и что делать, если заказчик просит «сделать GDPR-compliant продукт».

?22 мая


?Актуальные вопросы безопасности Android-приложений затронут Дмитрий Терешин и Николай Исламов ?(Тинькофф-банк). Они выделят причины уязвимости Android-приложений, недостаточно освещенные в гайдах OWASP.

Презентация Алексея Дремина (независимый эксперт) — о построении конвейера непрерывной проверки приложений на безопасность. Он разберет, в какой момент запускать конвейер, как и какие интеграции нужно сделать c CI/CD, куда сохранять и где обрабатывать результаты.

О построении процесса безопасного программирования можно будет услышать на выступлении Владимира Садовского («М.Видео»). Он расскажет про архитектурное проектирование, автоматизированные тесты, выявление ошибок бизнес-логики, про bug bounty.

Алексей Рыжков (EPAM Systems), основываясь на опыте внедрения процессов безопасной разработки компании EPAM, расскажет о построении процесса анализа каждой фичи с точки зрения влияния на безопасность проекта (security impact analysis).

Сергей Прилуцкий (MixBytes) поднимет тему автоматического аудита безопасности смарт-контрактов: он расскажет об особенностях исполняемого кода смарт-контрактов и анализаторов для работы с ними на примере Ethereum Virtual Machine, а также о векторах атак на смарт-контракты и возможностях их автоматического детектирования.

Доклад Виталия Катунина (EPAM Systems) посвящен оценке рисков безопасности : слушатели узнают, как сделать оценку рисков прозрачной для всех стейкхолдеров и добиться обратной совместимости угроз и security-требований.

Антон Башарин (Swordfish Security) поделится своим опытом автоматизации процессов AppSec, сбора метрик, их визуализации и анализа.?

Как попасть на секцию


Для участников сообщества PDUG билеты на трек традиционно бесплатные, но их всего 100! Чтобы получить билет — подайте заявку и дождитесь ее подтверждения. Пожалуйста, указывайте реальные имя и фамилию, иначе оргкомитет будет вынужден отклонить заявку. После подтверждения регистрации вы получите приглашение по электронной почте. Регистрация закрывается 17 мая.

Посмотреть записи докладов с предыдущих PDUG-секций можно на YouTube-канале .