Добавить в календарь 23.12.2021 11:00 23.12.2021 13:00 Europe/Moscow Кабы не было AppSec, или Что делать, когда он есть

Команда ITD Group и Checkmarx при поддержке Anti-Malware.ru приглашает на онлайн-дискуссию "Кабы не было AppSec, или Что делать, когда он есть". Мероприятие состоится 23 декабря (четверг) в 11:00 (МСК) и продлится 2 часа.

В прямом эфире обсудим внедрение практики DevSecOps.

Казалось бы, что тут сложного? Берем отдел разработки и снабжаем его разнообразными инструментами, которые помогают выявлять бреши в безопасности. Но, как говорится, чем дальше в лес, тем больше дров. Задача, которая поначалу кажется легко реализуемой, обрастает таким количеством нюансов, что начинает пугать.

Приглашенные эксперты – практики с реальным опытом выстраивания DevSecOps в организациях из ТОП-10 банков и финтеха. Во время эфира мы разберем большую часть «подводных камней», обсудим, с чего же начать выстраивание процессов DevSecOps, как не бросить затею на полпути, кого стоит привлекать и вовлекать и как выбирать подходящие решения.

КЛЮЧЕВЫЕ ВОПРОСЫ ДИСКУССИИ:

  1. Выстраивание SSDLC. Существует ли «волшебная таблетка», или все зависит от индивидуальных особенностей процессов разработки? 
  2. Кадры. Откуда брать специалистов AppSec, как найти общий язык с разработчиками и мотивировать их писать безопасный код? Кто должен оценивать уровень безопасности разрабатываемого приложения? 
  3. Статический анализ кода. Как правильно выбирать решение SAST? На что обратить внимание в ходе пилотов и как оценить разные анализаторы кода, если ты еще «не в теме»?
  4. Кастомизация правил сканирования SAST. Это вообще кому-нибудь нужно? И если да, то зачем?  
  5. Как определить необходимое количество и комбинацию инструментов безопасности для различных проектов? Как понять, что пора переходить к внедрению следующего инструмента, если внедрение происходит поэтапно?
  6. Практический опыт решения сложностей при внедрении безопасности в цикл разработки. Как это было?

Приглашенные эксперты:

Артем Бачевский, исполнительный директор в AppSec, Сбер

Внедряет практики безопасной разработки в крупных масштабах (несколько тысяч систем и столько же команд разработки).

Иван Елкин, сооснователь компании Vulners.com

Последние несколько лет возглавлял направление Application Security в компании QIWI, внедрял SDLC практики, писал системы оркестрации сканеров. В настоящее время продвигает тематику vulnerability management и строит различные сканеры и системы безопасности серверов в рамках компании Vulners.com.

Федор Курносов, независимый эксперт

Реализовал практику AppSec в ГПБ, начав с внедрения процесса практики OSS сразу в режиме блокирования библиотек и продолжив автоматизированным процессом сборки кода проверками SAST и SCA. Сейчас управляет детализацией применяемых практик в части подстройки под команды разработки. Под его руководством анализ кода используется в 37 продуктовых командах, ежедневно проходят проверки более 300 сборок.

Алексей Гуськов, независимый эксперт

Бизнес-партнёр, капитан топовой CTF-хак-команды с богатым опытом в суровой энтерпрайз безопасности, подтверждённым сотнями секьюрных продуктов.

Модераторы:

Анна Архипова

Ведущий менеджер по развитию продуктовых решений, ITD Group

 Онлайн,

Кабы не было AppSec, или Что делать, когда он есть

Вебинар ИБ (Информационная безопасность),

Дата проведения: 23.12.2021. Начало в 11:00

Место проведения: Онлайн

Сайт мероприятия
Организатор: ITD Group
Будь в курсе всех мероприятий по теме ИБ (Информационная безопасность)
  • Анонс
  • Программа
  • Участники
  • Спикеры

Команда ITD Group и Checkmarx при поддержке Anti-Malware.ru приглашает на онлайн-дискуссию "Кабы не было AppSec, или Что делать, когда он есть". Мероприятие состоится 23 декабря (четверг) в 11:00 (МСК) и продлится 2 часа.

В прямом эфире обсудим внедрение практики DevSecOps.

Казалось бы, что тут сложного? Берем отдел разработки и снабжаем его разнообразными инструментами, которые помогают выявлять бреши в безопасности. Но, как говорится, чем дальше в лес, тем больше дров. Задача, которая поначалу кажется легко реализуемой, обрастает таким количеством нюансов, что начинает пугать.

Приглашенные эксперты – практики с реальным опытом выстраивания DevSecOps в организациях из ТОП-10 банков и финтеха. Во время эфира мы разберем большую часть «подводных камней», обсудим, с чего же начать выстраивание процессов DevSecOps, как не бросить затею на полпути, кого стоит привлекать и вовлекать и как выбирать подходящие решения.

КЛЮЧЕВЫЕ ВОПРОСЫ ДИСКУССИИ:

  1. Выстраивание SSDLC. Существует ли «волшебная таблетка», или все зависит от индивидуальных особенностей процессов разработки? 
  2. Кадры. Откуда брать специалистов AppSec, как найти общий язык с разработчиками и мотивировать их писать безопасный код? Кто должен оценивать уровень безопасности разрабатываемого приложения? 
  3. Статический анализ кода. Как правильно выбирать решение SAST? На что обратить внимание в ходе пилотов и как оценить разные анализаторы кода, если ты еще «не в теме»?
  4. Кастомизация правил сканирования SAST. Это вообще кому-нибудь нужно? И если да, то зачем?  
  5. Как определить необходимое количество и комбинацию инструментов безопасности для различных проектов? Как понять, что пора переходить к внедрению следующего инструмента, если внедрение происходит поэтапно?
  6. Практический опыт решения сложностей при внедрении безопасности в цикл разработки. Как это было?

Приглашенные эксперты:

Артем Бачевский, исполнительный директор в AppSec, Сбер

Внедряет практики безопасной разработки в крупных масштабах (несколько тысяч систем и столько же команд разработки).

Иван Елкин, сооснователь компании Vulners.com

Последние несколько лет возглавлял направление Application Security в компании QIWI, внедрял SDLC практики, писал системы оркестрации сканеров. В настоящее время продвигает тематику vulnerability management и строит различные сканеры и системы безопасности серверов в рамках компании Vulners.com.

Федор Курносов, независимый эксперт

Реализовал практику AppSec в ГПБ, начав с внедрения процесса практики OSS сразу в режиме блокирования библиотек и продолжив автоматизированным процессом сборки кода проверками SAST и SCA. Сейчас управляет детализацией применяемых практик в части подстройки под команды разработки. Под его руководством анализ кода используется в 37 продуктовых командах, ежедневно проходят проверки более 300 сборок.

Алексей Гуськов, независимый эксперт

Бизнес-партнёр, капитан топовой CTF-хак-команды с богатым опытом в суровой энтерпрайз безопасности, подтверждённым сотнями секьюрных продуктов.

Модераторы:

Анна Архипова

Ведущий менеджер по развитию продуктовых решений, ITD Group

Anti-Malware
sberlogo.jpg
Сбер (Сбербанк)
Еще ИТ-мероприятия и конференции Онлайн