التنمية الآمنة في PHDays 8: نتائج اجتماع مجتمع PDUG

عُقد الاجتماع التالي لمجموعة مستخدمي التنمية الآمنة ، وهي مجتمع تطوير آمن ، في الفترة من 15 إلى 16 مايو ، في موقع منتدى الأمن السيبراني PHDays. تضمن البرنامج الذي استمر يومين 11 تقريرًا بدرجات متفاوتة من المتشددين ومائدة مستديرة مخصصة للتحليل الساكن.

تحت الخفض ، نشارك مواد الاجتماع: العروض التقديمية وتسجيلات الفيديو للتقارير.

جميع العروض التقديمية بشكل منفصل عن الفيديو متوفرة على قناة Speakerdeck .

اليوم الأول

ملاحظات افتتاحية لفلاديمير كوتشيتكوف ، تقنيات إيجابية

هل من الممكن تعميم محلل شفرة المصدر؟

إيفان كوتشوركين ، التقنيات الإيجابية

يناقش التقرير أنواعًا مختلفة من أجهزة تحليل الشفرة التي تقبل التعبيرات العادية والرموز المميزة وأشجار التحليل والرسوم البيانية لتدفق البيانات وإرشادات التنفيذ الرمزية. يصف المتحدث المشاكل التي تنشأ عند تلخيص كل نوع من أجهزة التحليل بلغات برمجة مختلفة ، ويقدم حلولًا. كما يوضح أيضًا نقاط الضعف ونقاط الضعف التي يمكن العثور عليها مع كل نهج (على سبيل المثال ، فشل الانتقال) ، ويصف قدرات محلل مصدر PT.PM مفتوح المصدر ، واستخدامه وآفاق التطوير.

أساطير وأساطير التنمية الآمنة

يوري شبالين ، أمن سمك أبو سيف

يتحدث كاتب التقرير عن الأساطير والصور النمطية الرئيسية التي تتبع اتجاه التنمية الآمنة ، عن الأخطاء الرئيسية في التخطيط والبدء.

استنادًا إلى هذه الخرافات والأساطير والأخطاء ، يشرح المتحدث كيفية التعامل مع بناء العمليات ، وما الذي يجب أخذه في الاعتبار ، وكيفية تقييم نقاط قوتك بشكل صحيح وبدء عملية التطوير الآمن بشكل صحيح. يتم عرض الإجراءات التنظيمية والوسائل التقنية (دون تحديد البائعين) ، والتفاعل بين التطوير وأمن المعلومات ، وبرامج التوعية ، وإدارة العملية برمتها ، ومقاييس الكفاءة باعتبارها أمثلة رئيسية على الأخطاء وطرق التغلب عليها.

أمان نوع عدد صحيح في C ++

إيجور سوبينوف ، خبير أمني

التقرير مخصص لقضايا تأمين التطبيقات في C ++ من الهجمات على التدفقات من الأنواع الصحيحة. يتم فحص الحالات النموذجية للضعف المرتبطة بهذه الفئة من الهجمات ، والعواقب المحتملة لاستغلالها وطرق الحماية.

كشف الثغرات في النظرية والتطبيق ، أو لماذا لا يوجد محلل استاتيكي مثالي

ياروسلاف الكسندروف وألكسندر تشيرنوف وإيكاترينا تروشينا ، الأمن الشمسي

يناقش التقرير المبادئ الأساسية لمحلل الشفرة الثابتة ، ويقدم نظرة عامة مقارنة على الطرق والخوارزميات التي تدعم التحليلات الثابتة الحديثة. باستخدام أمثلة ملموسة ، تم توضيح كيف يبحث المحلل الثابت عن نقاط الضعف ويعطي إجابة على السؤال لماذا لا يوجد محلل ثابت مثالي يعمل بسرعة ، ولا يعطي نتائج إيجابية خاطئة ولا يخطئ نقاط الضعف. يشرح المؤلفون كيفية دمج محلل ثابت في عملية التطوير بحيث تكون فعالة من حيث الموارد وتعطي نتائج عالية الجودة.

تحليل ثابت مثالي

فلاديمير كوتشيتكوف ، تقنيات إيجابية

التحليل الإحصائي المثالي كأداة غير موجود. ولكن هل يوجد تحليل إحصائي مثالي كعملية؟ ماذا يجب أن يكون توزيع الأدوار فيه بين شخص وأدوات SAST؟ ما هي الأدوات التي ينبغي أن تجعل من السهل على الشخص حل مهمة التحليل الإحصائي قدر الإمكان؟

المائدة المستديرة "SAST وموقعها في SDLC"

مدير الجلسة: فلاديمير كوتشيتكوف ، تقنيات إيجابية
المشاركون: التقنيات الإيجابية ، SolidLab ، Mail.ru ، الأمن الشمسي ، PVS-Studio ، ISP RAS

---

اليوم الثاني

LibProtection: بعد 6 أشهر

فلاديمير كوتشيتكوف ، تقنيات إيجابية

يتحدث المتحدث عن نتائج الاختبارات العامة للمكتبة ، وينظر بالتفصيل في التجاوزات التي تم العثور عليها وكيفية التخلص منها ، كما يقدم خططًا لتطوير المكتبة للعام الحالي.

توافق خوارزميات Blockchain أساسيات الأمان

Evangelos Deirmentzoglou ، التقنيات الإيجابية

خوارزميات الإجماع جزء لا يتجزأ من أي منصة بلوكشين. يسلط التقرير الضوء على مبادئ العمل الخاصة بخوارزميات الإجماع مثل إثبات العمل (إثبات الإنجاز) ، وإثبات الملكية (إثبات الملكية) ، وإثبات الملكية المفوض (إثبات الملكية المفوض) وإثبات السلطة (إثبات السلطة). عند تحليل الاختلافات بين هذه الخوارزميات ، يتم النظر في الهجمات الأكثر شيوعًا للأنظمة القائمة على هذه التقنيات ، مثل الإنفاق المزدوج ، هجوم 51 ٪ ، هجوم الرشوة ، هجوم العرافة ، هجوم لا شيء على المحك وغيرها.

تقرير باللغة الإنجليزية:


تقرير باللغة الروسية:

توقع الأرقام العشوائية في العقود الذكية لـ Ethereum

أرسيني ريوتوف ، تقنيات إيجابية

لا تُستخدم العقود الذكية فقط للإدراج الأولي لرموز العملة المشفرة. تطبق لغة Solidity العديد من ألعاب اليانصيب والكازينوهات وألعاب الورق المتاحة لأي شخص يستخدم سلسلة Ethereum blockchain. تحد استقلالية البلوكشين من مصادر الإنتروبيا لمولدات الأرقام العشوائية (RNGs). لا توجد مكتبة مشتركة يمكن للمطورين من خلالها إنشاء RNGs آمنة.

ولهذا السبب يمكن أن يخلق تنفيذ RNG الخاص بك العديد من المشاكل - من غير الممكن دائمًا تنفيذ RNG آمن ، مما يمنح المهاجمين الفرصة للتنبؤ بالنتيجة وسرقة الأموال. يقدم التقرير تحليلًا للعقود الذكية القائمة على blockchain لصناعة القمار. يوضح مؤلف التقرير أمثلة حقيقية على التنفيذ غير السليم لـ RNG ويخبرنا عن كيفية تحديد المشاكل في RNG وإنشاء مولد آمن خاص بك ، مع مراعاة قيود blockchain.

مطبات المعلمات ونهج الكائن

فلاديمير كوتشيتكوف ، تقنيات إيجابية

هل هو دائمًا استخدام أدوات وضع المعايير والانتقال إلى نموذج الكائن الذي يمكن أن يحل بفعالية مهام ضمان أمان التطبيق؟ ما هي المخاطر التي تنطوي عليها هذه الأساليب؟ هل نقاط الضعف في كود المشروع ممكنة عند استخدامها؟ يجيب مؤلف التقرير على هذه الأسئلة باستخدام أمثلة محددة وحالات حقيقية.

طريقة ربط على الروبوت

الكسندر جوزينكو ، تينكوف

يخبر مؤلف التقرير عن طريقة Hooking و Injector ، وسيشرح كيف ، مع معرفة هذين المفهومين ، تطبيقهما على Android وإجبار تطبيق شخص آخر على القيام بما تحتاجه.

كيفية إنشاء WAF سريع. بناء نظام تحليل حركة مرور الشبكة عالي الأداء

مايكل بادين ، والارم

يناقش التقرير مراحل معالجة حزمة في WAF ، وقضايا الحصول على المعلومات اللازمة من طلب ، وتحسين عمليات الترميز ، والتصفية على أساس التعابير العادية ، وتنفيذ التحليل السلوكي كجزء من حركة ما بعد المعالجة.


نشكر المتحدثين والمشاركين على لقاء مثمر!

إذا كان لديك أي أسئلة للمنظمين / المتحدثين أو ترغب في تقديم عرضك التقديمي في اجتماع PDUG التالي ، فاكتب إلى pdug@ptsecurity.com .