El foro Positive Hack Days 9 organizará una sección sobre el desarrollo seguro de la comunidad del
Grupo de usuarios de desarrollo positivo durante dos días. 12 participantes esperan a los participantes: en la primera parte de cada día, se realizarán informes técnicos, en la segunda, sobre los procesos comerciales.
21 de mayo
Vladimir Kochetkov y Valery Pushkar (Tecnologías positivas)
compartirán su experiencia en el desarrollo de un analizador de código JavaScript estático efectivo, y demostrarán el funcionamiento del analizador con ejemplos complejos.
Sergey Khrenov (PVS-Studio) hablará sobre
SAST, CWE, CVE, SEI CERT, DevSecOps y presentará a los desarrolladores estándares de programación que ayudan a crear aplicaciones confiables.
Un informe de Mikhail Scherbakov (Royal Institute of Technology, Suecia) está
dedicado a las vulnerabilidades en el proceso de deserialización en .NET. Los estudiantes también aprenderán qué serializadores .NET son vulnerables, qué herramientas se pueden usar para buscar vulnerabilidades y qué cargas útiles se conocen para las aplicaciones .NET.
Alexander Chernov (Universidad Estatal de Moscú) y Ekaterina Troshina (HSE)
le dirán cómo inculcar constantemente un desarrollo seguro desde el comienzo del entrenamiento. Formularán las metas y objetivos de enseñar un desarrollo seguro en el ejemplo de cursos básicos sobre programación y sistemas operativos de bajo nivel.
A partir de un
discurso de Sergey Gorokhov (EPAM Systems), los estudiantes aprenderán cómo alinear un producto de software con la ley europea GDPR y qué hacer si un cliente pide "hacer un producto que cumpla con GDPR".
22 de mayo
Dmitry Tereshin y Nikolay Islamov (Tinkoff Bank)
abordarán los problemas de seguridad reales de las aplicaciones de Android . Destacarán las razones de la vulnerabilidad de las aplicaciones de Android, insuficientemente cubiertas en las guías de OWASP.
Presentación de Alexey Dremin (experto independiente): sobre la construcción de una tubería para pruebas continuas de seguridad de las aplicaciones. Él determinará en qué punto comenzar la canalización, cómo y qué tipo de integración necesita hacer con CI / CD, dónde guardar y dónde procesar los resultados.
Puede escuchar sobre la construcción del proceso de programación segura
en un discurso de Vladimir Sadovsky ("M. Video"). Hablará sobre diseño arquitectónico, pruebas automatizadas, identificación de errores de lógica de negocios y sobre la recompensa de errores.
Alexey Ryzhkov (EPAM Systems), basado en la experiencia de implementar los procesos de desarrollo seguro de EPAM,
hablará sobre la construcción de un proceso de análisis para cada característica en términos del impacto en la seguridad del proyecto (análisis de impacto de seguridad).
Sergey Prilutsky (MixBytes)
planteará el tema de la auditoría automática de la seguridad de los contratos inteligentes: hablará sobre las características del código ejecutable de los contratos inteligentes y los analizadores para trabajar con ellos utilizando el ejemplo de Ethereum Virtual Machine, así como los vectores de ataque para contratos inteligentes y las posibilidades de su detección automática.
El informe de Vitaliy Katunin (EPAM Systems) está dedicado a
evaluar los riesgos de seguridad : los estudiantes aprenderán cómo hacer que una evaluación de riesgos sea transparente para todas las partes interesadas y lograr la compatibilidad con las amenazas y los requisitos de seguridad.
Anton Basharin (Swordfish Security)
compartirá su experiencia en la automatización de procesos de AppSec, recopilando métricas, visualizándolas y analizándolas.
Cómo llegar a la sección
Para los miembros de la comunidad PDUG, las entradas para la pista son tradicionalmente
gratuitas , ¡pero solo hay 100! Para obtener un boleto,
envíe una solicitud y espere su confirmación. Indique el nombre real y el apellido; de lo contrario, el comité organizador se verá obligado a rechazar la solicitud. Después de la confirmación del registro, recibirá una invitación por correo electrónico. La inscripción cierra el 17 de mayo.
Puede ver informes de secciones PDUG anteriores en el
canal de YouTube .