На форуме Positive Hack Days 9 в течение двух дней пройдет секция по безопасной разработке сообщества Positive Development User Group. Участников ждут 12 выступлений: в первой части каждого дня пройдут технические доклады, во второй — посвященные бизнес-процессам.
21 мая
Владимир Кочетков и Валерий Пушкарь (Positive Technologies) поделятся опытом разработки эффективного статического анализатора JavaScript-кода, а также продемонстрируют работу анализатора на сложных примерах.
Сергей Хренов (PVS-Studio) расскажет о SAST, CWE, CVE, SEI CERT, DevSecOps и познакомит разработчиков со стандартами программирования, которые помогают создавать надежные приложения.
Доклад Михаила Щербакова (Королевский технологический институт, Швеция) посвящен уязвимостям в процессе десериализации в .NET. Слушатели также узнают, какие сериализаторы .NET уязвимы, какие инструменты можно использовать для поиска уязвимостей, какие payloads известны для .NET-приложений.
Как последовательно прививать безопасную разработку с самого начала обучения, расскажут Александр Чернов (МГУ) и Екатерина Трошина (ВШЭ). Они сформулируют цели и задачи обучения безопасной разработке на примере базовых курсов по низкоуровневому программированию и операционным системам.
Из выступления Сергея Горохова (EPAM Systems) слушатели узнают, как привести программный продукт в соответствие с европейским законом GDPR и что делать, если заказчик просит «сделать GDPR-compliant продукт».
22 мая
Актуальные вопросы безопасности Android-приложений затронут Дмитрий Терешин и Николай Исламов (Тинькофф-банк). Они выделят причины уязвимости Android-приложений, недостаточно освещенные в гайдах OWASP.
Презентация Алексея Дремина (независимый эксперт) — о построении конвейера непрерывной проверки приложений на безопасность. Он разберет, в какой момент запускать конвейер, как и какие интеграции нужно сделать c CI/CD, куда сохранять и где обрабатывать результаты.
О построении процесса безопасного программирования можно будет услышать на выступлении Владимира Садовского («М.Видео»). Он расскажет про архитектурное проектирование, автоматизированные тесты, выявление ошибок бизнес-логики, про bug bounty.
Алексей Рыжков (EPAM Systems), основываясь на опыте внедрения процессов безопасной разработки компании EPAM, расскажет о построении процесса анализа каждой фичи с точки зрения влияния на безопасность проекта (security impact analysis).
Сергей Прилуцкий (MixBytes) поднимет тему автоматического аудита безопасности смарт-контрактов: он расскажет об особенностях исполняемого кода смарт-контрактов и анализаторов для работы с ними на примере Ethereum Virtual Machine, а также о векторах атак на смарт-контракты и возможностях их автоматического детектирования.
Доклад Виталия Катунина (EPAM Systems) посвящен оценке рисков безопасности: слушатели узнают, как сделать оценку рисков прозрачной для всех стейкхолдеров и добиться обратной совместимости угроз и security-требований.
Антон Башарин (Swordfish Security) поделится своим опытом автоматизации процессов AppSec, сбора метрик, их визуализации и анализа.
Как попасть на секцию
Для участников сообщества PDUG билеты на трек традиционно бесплатные, но их всего 100! Чтобы получить билет — подайте заявку и дождитесь ее подтверждения. Пожалуйста, указывайте реальные имя и фамилию, иначе оргкомитет будет вынужден отклонить заявку. После подтверждения регистрации вы получите приглашение по электронной почте. Регистрация закрывается 17 мая.
Посмотреть записи докладов с предыдущих PDUG-секций можно на YouTube-канале.