Запись прямого эфира онлайн-конференции AM Live ([ Ссылка ]), проходившей 09 ноября 2022 года и посвящённой новейшим методикам анализа безопасности исходного кода.
00:00 – Приветствие Льва Палей, модератора дискуссии
01:22 – Представление участников
06:52 – Что такое безопасный исходный код?
12:45 – Отличительные характеристики безопасного кода
14:41 – Риски от использования небезопасного кода
19:30 – Какое делятся работы по обеспечению безопасности кода между вендором и заказчиком?
26:06 – Результаты опроса 1: Анализируете ли вы исходный код своих проектов на безопасность?
28:32 – Выстраивание диалога между проверяющими код и разработчиками
31:15 – Каким компания требуется сертификация процессов проверки безопасности кода?
32:46 – Требуется ли изменить сертификацию под воздействием процессов SDLC (Systems Development Life Cycle)?
35:27 – Как связаны добавление новых функций в ПО и его сертификация на безопасность?
40:14 – Инструменты для проверки кода на безопасность на различных этапах его внедрения
49:16 – Аббревиатуры, используемые при задачах проверки безопасности кода – SAST, OSA, SCA, DAST, IAST, BAST.
54:35 – Результаты опроса 2: Какой из методов анализа безопасности исходного кода вы считаете наиболее важными в цикле SDLC?
57:39 – Можно ли обойтись без специальных инструментов при анализе кода на его безопасность?
1:04:38 – Результаты опроса 3: Что вас ограничивает во внедрении анализа безопасности исходного кода?
1:07:57 – Как устроен сканер безопасности кода?
1:13:10 – Что делать, если имеющиеся сканеры безопасного кода не умеют работать с конкретным языком?
1:19:50 – Как анализ безопасности кода помогает выполнению государственных и отраслевых стандартов и требований?
1:24:10 – Примеры нарушения безопасности кода и их последствия
1:30:20 – Какие новые вредоносные элементы научились выявлять в последнее время антивирусы?
1:31:30 – Как правильно выбрать разработчику идеальный анализатор исходного кода?
1:36:40 – Какой минимальный набор проверок кода необходимо выполнять для сертификации ПО?
1:42:52 – Результаты опроса 4: Какой из вариантов организации анализа безопасности исходного кода является оптимальным для вашей организации?
1:45:52 – Как проверять безопасность, если разработчик не раскрывает исходный код?
1:50:26 – Где искать ошибки в коде в первую очередь или надо искать везде?
1:54:29 – Результаты опроса 5: Каково ваше мнение относительно анализаторов безопасности исходного кода?
1:56:35 – Как будет развиваться сообщество, занимающееся проблемами обеспечения безопасности кода?
2:09:52 – Подведение итогов дискуссии
Модератор:
- Лев Палей, Начальник службы информационной безопасности, СО ЕЭС
Спикеры:
- Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар»
- Денис Кораблев, Управляющий директор, директор по продуктам, Positive Technologies
- Дмитрий Шмойлов, Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского”
- Юрий Шабалин, Ведущий архитектор Swordfish Security
- Анна Архипова, Ведущий менеджер по развитию продуктовых решений, ITD Group
- Дмитрий Куколев, Руководитель группы разработки защищенных и безопасных продуктов, МТС
- Михаил Волков, Руководитель группы департамента сертификации и тестирования, АО "НПО «Эшелон"
#АнализКода #AMLive #cybersecurity #кибербезопасность #devops #devsecops
Записи других прямых эфиров AM Live
[ Ссылка ]
Присоединяйтесь к нам в соцсетях!
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
