26 марта 2021 г. в 11.00 (мск) пройдет онлайн-конференция «DevSecOps часть 2: анализ исходного кода».
На мероприятии расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
Онлайн,DevSecOps часть 2: анализ исходного кода
Дата проведения: 26.03.2021. Начало в 11:00
Место проведения: Онлайн,
- Анонс
- Программа
- Участники
- Спикеры
26 марта 2021 г. в 11.00 (мск) пройдет онлайн-конференция «DevSecOps часть 2: анализ исходного кода».
На мероприятии расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
- Зачем проверять исходный код на безопасность?
- Почему недостаточно проводить аудит безопасности готового ПО?
- Чем SAST отличается от DAST и кто из них лучше?
- Как безопасно использовать открытое программное обеспечение (open source)?
- Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?
- Откуда брать базы уязвимостей?
- Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка != уязвимость)
- На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
- Какие языки программирования поддерживаются сканерами?
- Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
- Как проводить анализ, если подрядчик не раскрывает исходный код?
- Как убедить разработчиков править свой код?
- Можно ли использовать готовые наборы правил из коробки?
- Насколько необходимо настраивать анализаторы под свою специфику разработки?
- Какая необходима интеграция анализаторов кода с другими системами?
- Что ожидает рынок в перспективе 2-3 года?
- Как новые подходы к разработке повлияют на этот рынок?
- Будут ли SAST и DAST все больше доступны в виде сервиса из облака?
