Le forum Positive Hack Days 9 hébergera une section sur le développement sûr de la communauté
Positive Development User Group pendant deux jours. 12 présentations attendent les participants: dans la première partie de chaque journée, des rapports techniques auront lieu, dans la seconde - sur les processus métiers.
21 mai
Vladimir Kochetkov et Valery Pushkar (Positive Technologies)
partageront leur expérience dans le développement d'un analyseur de code JavaScript statique efficace, et démontreront le fonctionnement de l'analyseur avec des exemples complexes.
Sergey Khrenov (PVS-Studio) parlera de
SAST, CWE, CVE, SEI CERT, DevSecOps et présentera aux développeurs des normes de programmation qui aident à créer des applications fiables.
Un rapport de Mikhail Scherbakov (Royal Institute of Technology, Suède) est
consacré aux vulnérabilités dans le processus de désérialisation en .NET. Les étudiants apprendront également quels sérialiseurs .NET sont vulnérables, quels outils peuvent être utilisés pour rechercher des vulnérabilités et quelles charges utiles sont connues pour les applications .NET.
Alexander Chernov (Université d'État de Moscou) et Ekaterina Troshina (HSE) vous expliqueront comment inculquer systématiquement un développement sûr dès le début de la formation. Ils formuleront les buts et les objectifs de l'enseignement du développement sûr sur l'exemple des cours de base sur la programmation de bas niveau et les systèmes d'exploitation.
À partir d'un
discours de Sergey Gorokhov (EPAM Systems), les étudiants apprendront comment mettre un produit logiciel en conformité avec la loi européenne du RGPD et que faire si un client demande «de fabriquer un produit conforme au GDPR».
22 mai
Les problèmes de sécurité réels pour les applications Android seront abordés par Dmitry Tereshin et Nikolay Islamov (Tinkoff Bank). Ils mettront en évidence les raisons de la vulnérabilité des applications Android, insuffisamment traitées dans les guides OWASP.
Présentation d' Alexey Dremin (expert indépendant) - sur la construction d'un pipeline pour les tests de sécurité continus des applications. Il déterminera à quel moment démarrer le pipeline, comment et quel type d'intégration vous devez faire avec CI / CD, où enregistrer et où traiter les résultats.
Vous pouvez entendre parler de la construction du processus de programmation sécurisé
lors d'un discours de Vladimir Sadovsky ("M. Video"). Il parlera de la conception architecturale, des tests automatisés, de l'identification des erreurs de logique métier et de la prime aux bogues.
Alexey Ryzhkov (EPAM Systems), basé sur l'expérience de mise en œuvre des processus de développement sécurisé d'EPAM,
parlera de la construction d'un processus d'analyse pour chaque fonctionnalité en termes d'impact sur la sécurité du projet (analyse d'impact de sécurité).
Sergey Prilutsky (MixBytes)
soulèvera le sujet de l'audit automatique de la sécurité des contrats intelligents: il parlera des fonctionnalités du code exécutable des contrats intelligents et des analyseurs pour travailler avec eux en utilisant l'exemple de Ethereum Virtual Machine, ainsi que des vecteurs d'attaque pour les contrats intelligents et les possibilités de leur détection automatique.
Le rapport de Vitaliy Katunin (EPAM Systems) est dédié à l'
évaluation des risques de sécurité : les étudiants apprendront à rendre une évaluation des risques transparente pour toutes les parties prenantes et à atteindre une compatibilité descendante des menaces et des exigences de sécurité.
Anton Basharin (Swordfish Security)
partagera son expérience dans l'automatisation des processus AppSec, la collecte de métriques, leur visualisation et leur analyse.
Comment accéder à la section
Pour les membres de la communauté PDUG, les billets pour la piste sont traditionnellement
gratuits , mais il n'y en a que 100! Pour obtenir un billet -
soumettez une demande et attendez sa confirmation. Veuillez indiquer le vrai nom et prénom, sinon le comité d'organisation sera obligé de rejeter la candidature. Après confirmation de l'inscription, vous recevrez une invitation par e-mail. L'inscription se termine le 17 mai.
Vous pouvez regarder les rapports des sections PDUG précédentes sur la
chaîne YouTube .