O fórum Positive Hack Days 9 hospedará uma seção sobre o desenvolvimento seguro da comunidade do
Positive Development User Group por dois dias. 12 apresentações aguardam os participantes: na primeira parte de cada dia, serão realizados relatórios técnicos, na segunda - nos processos de negócios.
21 de maio
Vladimir Kochetkov e Valery Pushkar (Positive Technologies)
compartilharão sua experiência no desenvolvimento de um analisador de código JavaScript estático eficaz, além de demonstrar a operação do analisador com exemplos complexos.
Sergey Khrenov (PVS-Studio) falará sobre
SAST, CWE, CVE, SEI CERT, DevSecOps e apresentará aos desenvolvedores padrões de programação que ajudam a criar aplicativos confiáveis.
Um relatório de Mikhail Scherbakov (Instituto Real de Tecnologia, Suécia) é
dedicado a vulnerabilidades no processo de desserialização no .NET. Os alunos também aprenderão quais serializadores .NET são vulneráveis, quais ferramentas podem ser usadas para procurar vulnerabilidades e quais cargas úteis são conhecidas por aplicativos .NET.
Alexander Chernov (Universidade Estadual de Moscou) e Ekaterina Troshina (HSE)
mostrarão como instilar consistentemente o desenvolvimento seguro desde o início do treinamento. Eles formularão as metas e objetivos do ensino do desenvolvimento seguro no exemplo de cursos básicos de programação e sistemas operacionais de baixo nível.
Em um
discurso de Sergey Gorokhov (EPAM Systems), os alunos aprenderão como alinhar um produto de software com a lei européia do GDPR e o que fazer se um cliente solicitar "fazer um produto compatível com o GDPR".
22 de maio
Os problemas reais de segurança dos aplicativos Android serão abordados por Dmitry Tereshin e Nikolay Islamov (Tinkoff Bank). Eles destacarão os motivos da vulnerabilidade dos aplicativos Android, insuficientemente abordados nos guias da OWASP.
Apresentação de Alexey Dremin (especialista independente) - na construção de um pipeline para testes contínuos de segurança de aplicativos. Ele descobrirá em que ponto iniciar o pipeline, como e que tipo de integração você precisa fazer com o CI / CD, onde salvar e onde processar os resultados.
Você pode ouvir sobre a construção do processo de programação segura
em um discurso de Vladimir Sadovsky ("M. Video"). Ele falará sobre design de arquitetura, testes automatizados, identificação de erros de lógica de negócios e sobre recompensas por bugs.
Alexey Ryzhkov (EPAM Systems), com base na experiência de implementar os processos de desenvolvimento seguro do EPAM,
falará sobre a construção de um processo de análise para cada recurso em termos de impacto na segurança do projeto (análise de impacto de segurança).
Sergey Prilutsky (MixBytes)
abordará o tema da auditoria automática de segurança de contratos inteligentes: ele falará sobre os recursos do código executável de contratos e analisadores inteligentes para trabalhar com eles usando o exemplo da Ethereum Virtual Machine, além de vetores de ataque para contratos inteligentes e as possibilidades de detecção automática.
O relatório de Vitaliy Katunin (EPAM Systems) é dedicado à
avaliação de riscos de segurança : os alunos aprenderão como tornar uma avaliação de riscos transparente para todas as partes interessadas e obter compatibilidade com versões anteriores de ameaças e requisitos de segurança.
Anton Basharin (Swordfish Security)
compartilhará sua experiência na automação de processos AppSec, coletando métricas, visualizando e analisando-os.
Como chegar à seção
Para os membros da comunidade PDUG, os ingressos para a pista são tradicionalmente
gratuitos , mas existem apenas 100! Para obter um ingresso -
envie uma inscrição e aguarde sua confirmação. Indique o nome e sobrenome reais, caso contrário, o comitê organizador será forçado a rejeitar a solicitação. Após a confirmação do registro, você receberá um convite por e-mail. As inscrições são encerradas em 17 de maio.
Você pode assistir a relatórios das seções anteriores do PDUG no
canal do
YouTube .