Das Forum Positive Hack Days 9 bietet zwei Tage lang einen Abschnitt über die sichere Entwicklung der Community der
Positive Development User Group . 12 Präsentationen warten auf die Teilnehmer: Im ersten Teil eines jeden Tages finden technische Berichte statt, im zweiten Teil über Geschäftsprozesse.
21. Mai
Vladimir Kochetkov und Valery Pushkar (Positive Technologies)
werden ihre Erfahrungen bei der Entwicklung eines effektiven statischen JavaScript-Code-Analysators
teilen und die Funktionsweise des Analysators anhand komplexer Beispiele demonstrieren.
Sergey Khrenov (PVS-Studio) wird über
SAST, CWE, CVE, SEI CERT und DevSecOps sprechen und Entwicklern Programmierstandards vorstellen, mit denen zuverlässige Anwendungen erstellt werden können.
Ein Bericht von Mikhail Scherbakov (Königliches Institut für Technologie, Schweden) befasst
sich mit Schwachstellen im Deserialisierungsprozess in .NET. Die Schüler erfahren außerdem, welche .NET-Serialisierer anfällig sind, welche Tools zum Suchen nach Schwachstellen verwendet werden können und welche Nutzdaten für .NET-Anwendungen bekannt sind.
Alexander Chernov (Moskauer Staatliche Universität) und Ekaterina Troshina (HSE) zeigen Ihnen, wie Sie von Beginn der Ausbildung an eine sichere Entwicklung fördern können. Sie werden die Ziele und Vorgaben des Lehrens für sichere Entwicklung am Beispiel von Grundkursen zu einfachen Programmier- und Betriebssystemen formulieren.
In einer
Rede von Sergey Gorokhov (EPAM Systems) lernen die Schüler, wie sie ein Softwareprodukt mit dem europäischen DSGVO-Recht in Einklang bringen und was zu tun ist, wenn ein Kunde „ein GDPR-konformes Produkt herstellen“ möchte.
22. Mai
Aktuelle Sicherheitsprobleme für Android-Anwendungen werden von Dmitry Tereshin und Nikolay Islamov (Tinkoff Bank) angesprochen. Sie werden die Gründe für die Sicherheitsanfälligkeit von Android-Anwendungen hervorheben, die in den OWASP-Handbüchern nicht ausreichend behandelt werden.
Präsentation von Alexey Dremin (unabhängiger Experte) - zum Bau einer Pipeline für kontinuierliche Sicherheitstests von Anwendungen. Er wird herausfinden, wann die Pipeline gestartet werden soll, wie und welche Art von Integration Sie mit CI / CD durchführen müssen, wo Sie speichern und wo Sie die Ergebnisse verarbeiten müssen.
Über den Aufbau des sicheren Programmierprozesses erfahren Sie
in einer Rede von Vladimir Sadovsky ("M. Video"). Er wird über Architekturdesign, automatisierte Tests, das Erkennen von Geschäftslogikfehlern und über Bug Bounty sprechen.
Alexey Ryzhkov (EPAM Systems), basierend auf den Erfahrungen bei der Implementierung der Prozesse zur sicheren Entwicklung von EPAM,
wird über die Erstellung eines Analyseprozesses für jedes Merkmal im Hinblick auf die Auswirkungen auf die Sicherheit des Projekts
sprechen (Sicherheitsauswirkungsanalyse).
Sergey Prilutsky (MixBytes)
wird das Thema der automatischen Prüfung der Sicherheit intelligenter Verträge ansprechen: Er wird anhand des Beispiels der virtuellen Maschine von Ethereum über die Funktionen des ausführbaren Codes intelligenter Verträge und Analysatoren für die Arbeit mit ihnen sowie über Angriffsvektoren für intelligente Verträge und die Möglichkeiten ihrer automatischen Erkennung sprechen.
Der Bericht von Vitaliy Katunin (EPAM Systems) widmet sich der
Bewertung von Sicherheitsrisiken : Die Schüler lernen, wie sie eine Risikobewertung für alle Beteiligten transparent machen und eine Abwärtskompatibilität von Bedrohungen und Sicherheitsanforderungen erreichen können.
Anton Basharin (Swordfish Security)
wird seine Erfahrungen in der Automatisierung von AppSec-Prozessen, der Erfassung von Metriken, der Visualisierung und Analyse dieser Prozesse
teilen .
Wie komme ich zum Abschnitt?
Für Mitglieder der PDUG-Community sind Tickets für die Strecke traditionell
kostenlos , aber es gibt nur 100 davon! Um ein Ticket zu erhalten,
reichen Sie einen Antrag ein und warten Sie auf dessen Bestätigung. Bitte geben Sie den tatsächlichen Vor- und Nachnamen an, andernfalls muss das Organisationskomitee den Antrag ablehnen. Nach Bestätigung der Registrierung erhalten Sie eine Einladung per E-Mail. Die Registrierung endet am 17. Mai.
Sie können Berichte aus früheren PDUG-Abschnitten auf dem
YouTube-Kanal anzeigen.