يوم 9: مرحبا بكم في قسم التنمية الآمنة

سيستضيف منتدى Hack Days 9 قسمًا عن التطوير الآمن لمجتمع مجموعة مستخدم التطوير الإيجابي لمدة يومين. هناك 12 عرضًا تقديميًا في انتظار المشاركين: في الجزء الأول من كل يوم ، ستُعقد تقارير تقنية ، في الجزء الثاني - حول العمليات التجارية.

21 مايو

سوف يشارك فلاديمير كوتشيتكوف وفاليري بوشكار (تقنيات إيجابية) تجربتهم في تطوير أداة تحليل شفرة جافا سكريبت فعالة ، بالإضافة إلى شرح عمل المحلل بأمثلة معقدة.

سيتحدث سيرجي خرينوف (PVS-Studio) عن SAST و CWE و CVE و SEI CERT و DevSecOps ويعرض المطورين لمعايير البرمجة التي تساعد في إنشاء تطبيقات موثوقة.

يكرس تقرير من قبل ميخائيل Scherbakov (المعهد الملكي للتكنولوجيا ، السويد) لنقاط الضعف في عملية إلغاء التسلسل في .NET. سيتعرف الطلاب أيضًا على متسلسلي .NET المعرضين للخطر ، والأدوات التي يمكن استخدامها للبحث عن الثغرات الأمنية ، وأي الحمولات المعروفة لتطبيقات .NET.

سيخبرك ألكساندر تشيرنوف (جامعة موسكو الحكومية) وإيكاترينا تروشينا (HSE) بكيفية غرس التنمية الآمنة باستمرار منذ بداية التدريب. سيقومون بصياغة أهداف وغايات تعليم التنمية الآمنة على سبيل المثال من الدورات الأساسية في البرمجة المنخفضة وأنظمة التشغيل.

من خطاب Sergey Gorokhov (EPAM Systems) ، سيتعلم الطلاب كيفية جعل منتج البرنامج متماشياً مع قانون الناتج المحلي الإجمالي الأوروبي وماذا يفعل إذا طلب العميل "صنع منتج متوافق مع الناتج المحلي الإجمالي".

22 مايو

سيتناول ديمتري تيريشين ونيكولاي إسلاموف (بنك تينكوف) قضايا الأمن الفعلية لتطبيقات أندرويد . سوف يسلطون الضوء على أسباب ضعف تطبيقات Android ، والتي لم يتم تغطيتها بشكل كاف في أدلة OWASP.

عرض مقدم من أليكسي دريمين (خبير مستقل) - حول إنشاء خط أنابيب للاختبار الأمني ​​المستمر للتطبيقات. سوف يحدد عند أي نقطة لبدء خط الأنابيب ، وكيف ونوع التكامل الذي تحتاج إلى فعله مع CI / CD ، وأين يمكنك حفظها ، وأين تتم معالجة النتائج.

يمكنك أن تسمع عن بناء عملية البرمجة الآمنة في خطاب لفلاديمير سادوفسكي ("M. Video"). سيتحدث عن التصميم المعماري والاختبارات الآلية وتحديد أخطاء منطق الأعمال وعن فضل الأخطاء.

سيتحدث أليكسي ريجكوف (EPAM Systems) ، استنادًا إلى تجربة تنفيذ عمليات التطوير الآمن لـ EPAM ، عن بناء عملية تحليل لكل ميزة من حيث التأثير على أمن المشروع (تحليل التأثير الأمني).

سيثير سيرجي بريلوتسكي (MixBytes) موضوع المراجعة التلقائية لأمان العقود الذكية: سيتحدث عن ميزات الكود القابل للتنفيذ للعقود والمحللات الذكية للعمل معهم باستخدام مثال Ethereum Virtual Machine ، بالإضافة إلى متجهات الهجوم للعقود الذكية وإمكانيات اكتشافها التلقائي.

إن تقرير Vitaliy Katunin (EPAM Systems) مخصص لتقييم المخاطر الأمنية : سوف يتعلم الطلاب كيفية جعل تقييم المخاطر شفافًا لجميع أصحاب المصلحة وتحقيق التوافق مع التهديدات ومتطلبات الأمان.

سوف يشارك Anton Basharin (Swordfish Security) تجربته في أتمتة عمليات AppSec ، وجمع المقاييس ، وتصورها وتحليلها.

كيفية الوصول إلى القسم

بالنسبة لأعضاء مجتمع PDUG ، فإن التذاكر إلى المسار مجانية تقليديًا ، لكن هناك 100 منها فقط! للحصول على تذكرة - أرسل طلبًا وانتظر تأكيده. يرجى الإشارة إلى الاسم الحقيقي واللقب ، وإلا ستضطر اللجنة المنظمة إلى رفض الطلب. بعد تأكيد التسجيل ، ستتلقى دعوة عبر البريد الإلكتروني. يغلق التسجيل في 17 مايو.

عرض التقارير من أقسام PDUG السابقة على قناة يوتيوب .