Разработка безопасного программного обеспечения (РБПО)
Современное программное обеспечение и его исходный код всё чаще становятся мишенью: от утекших токенов до целевых атак через CI/CD. Разработка ПО с учётом требований безопасности – больше не роскошь, а обязательный процесс, который экономит деньги организации.
В прямом эфире AM Live мы разберём, как внедрить безопасность в каждую фазу жизненного цикла разработки ПО: от создания модели угроз, разработки концепции продукта и его архитектуры, до контроля секретов, композиционного анализа (SCA), использования сканеров исходного кода (SAST, DAST) и управления уязвимостями.
Обсудим рабочие практики, частые ошибки, реальные кейсы и новый российский ГОСТ Р 56939-2024 как каркас зрелости процессов РБПО.
Ключевые вопросы дискуссии:
- Как встроить безопасность в процесс разработки
- Что обычно становится триггером для внедрения РБПО: инцидент, аудит, клиент?
- Кто и когда должен сформулировать требования к безопасности разрабатываемого ПО?
- Какие методологии применяются на практике (Secure SDLC, DevSecOps, ГОСТ Р 56939-2024)?
- Как проходит обучение и вовлечение разработчиков в тему безопасной разработки?
- Как правильно учитывать безопасность в low-code/no-code проектах и при работе с LLM?
- Как управлять найденными уязвимостями: процессы, триаж (triage), баг-репорты?
- Блиц: Самая дурацкая ошибка в разработке, которая обернулась инцидентом?
- Технологии обеспечения процесса РБПО
- Какие этапы жизненного цикла самые уязвимые — и почему?
- Что считать базовыми элементами безопасности в CI/CD пайплайне?
- Как разработать и учесть модель угроз (Threat Modeling) при разработке ПО?
- Как обеспечить контроль доступа к репозиторию исходного кода и среде разработки?
- Зачем нужен композиционный анализ программного продукта (SCA, Software Composition Analysis)?
- Какие инструменты анализа кода используются: SAST, DAST, IAST — что реально работает?
- Где и как безопасно хранить секреты (токены, API-ключи, пароли)?
- Что эффективнее — отдельные “security review” или интеграция проверки безопасности в обычный “code review”?
- Как тестировать безопасность приложения перед и после релиза?
- Блиц. Частые ошибки, которые встречаются в большинстве компаний-разработчиках ПО
- Итоги и прогнозы
- Какие этапы разработки потребуют усиления защиты в ближайшие 2 года?
- Какие инструменты и подходы придут в РБПО с развитием ИИ?
- Как будет меняться взаимодействие ИБ и разработки?
- Как будут меняться стандарты и требования регуляторов для РБПО в ближайшее время?
Приглашенные эксперты:
Уточняется
Уточняется
Модераторы:
Уточняется
Уточняется
С этим мероприятием что-то не так?
- Неправильная дата или время
- Неправильный адрес
- Неправильно указан тип мероприятия
- Плохое описание
- Мероприятие отменено или отложено
- Неприемлемый/неприличный контент
- Нарушение авторских прав
- Это спам
- Не получается купить билет
- Какая-то другая проблема
- Это мое мероприятие, хочу его изменить
Онлайн
похожие мероприятия
