Онлайн-конференция "Анализ безопасности исходного кода 2022" состоится 9 ноября 2022 года в 11:00 (мск). Организатор - Anti-Malware.
Расскажем о новейших методиках анализа безопасности исходного кода. Поговорим о специализированных средствах — анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют. В чем различия SAST, DAST, IAST, FAST и BAST. Какие угрозы исходят от открытого программного обеспечения (open source) и как его контролировать при помощи OSA. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
КЛЮЧЕВЫЕ ВОПРОСЫ
Рынок анализаторов безопасности исходного кода
- Что такое безопасный исходный код? (каковы характеристики такого идеального кода)
- Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?
- Как на требования к безопасности кода повлияли события 2022 года?
- Какие самые яркие примеры атак через уязвимости в исходном коде (включая цепочку поставок) в 2022 году?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов? (ГОСТ 15408-3, ОУД4, 683-П и другие)
- Каковы основные методики и подходы к повышению безопасности исходного кода?
- Можно ли обойтись организационными мерами и человеческим ресурсом без покупки многочисленных сканеров?
- Как провести проверку безопасности архитектуры и логики разработанного ПО?
- Какие бывают типы анализаторов исходного кода? В чем отличия между SAST, DAST, IAST, FAST и BAST?
- В чем особенности проверки безопасности и контроля компонентов open source? И что такое OSA?
Практика проверки безопасности исходного кода
- Мы решили заняться безопасностью кода. С чего начать?
- Кто должен проводить проверки: сами разработчики или служба ИБ?
- Каков минимальный набор проверок кода, которые необходимо проводить каждой компании-разработчику?
- На чем основана логика работы сканеров кода и насколько ей можно доверять?
- Работают ли готовые наборы сигнатур и правил из коробки?
- Сканер показал кучу уязвимостей и ошибок. Как убедиться, что это не ложные срабатывания и оценить их критичность?
- На какие рекомендации по устранению уязвимостей и ошибок в коде могут рассчитывать разработчики?
- Как выбрать идеальный анализатор исходного кода?
- Как проверить безопасность приложения, если разработчик по контракту не раскрывает исходные коды?
- Как проверить лицензионную чистоту исходного кода?
Прогнозы
- Что ожидает рынок в перспективе 2-3 года?
- Появится ли у него четкая российская специфика?
- Как новые подходы к разработке повлияют на этот рынок?
Анализ безопасности исходного кода 2022
Дата проведения: 09.11.2022. Начало в 11:00
Место проведения: Онлайн,
- Анонс
- Программа
- Участники
- Спикеры
Онлайн-конференция "Анализ безопасности исходного кода 2022" состоится 9 ноября 2022 года в 11:00 (мск). Организатор - Anti-Malware.
Расскажем о новейших методиках анализа безопасности исходного кода. Поговорим о специализированных средствах — анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют. В чем различия SAST, DAST, IAST, FAST и BAST. Какие угрозы исходят от открытого программного обеспечения (open source) и как его контролировать при помощи OSA. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
КЛЮЧЕВЫЕ ВОПРОСЫ
Рынок анализаторов безопасности исходного кода
- Что такое безопасный исходный код? (каковы характеристики такого идеального кода)
- Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?
- Как на требования к безопасности кода повлияли события 2022 года?
- Какие самые яркие примеры атак через уязвимости в исходном коде (включая цепочку поставок) в 2022 году?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов? (ГОСТ 15408-3, ОУД4, 683-П и другие)
- Каковы основные методики и подходы к повышению безопасности исходного кода?
- Можно ли обойтись организационными мерами и человеческим ресурсом без покупки многочисленных сканеров?
- Как провести проверку безопасности архитектуры и логики разработанного ПО?
- Какие бывают типы анализаторов исходного кода? В чем отличия между SAST, DAST, IAST, FAST и BAST?
- В чем особенности проверки безопасности и контроля компонентов open source? И что такое OSA?
Практика проверки безопасности исходного кода
- Мы решили заняться безопасностью кода. С чего начать?
- Кто должен проводить проверки: сами разработчики или служба ИБ?
- Каков минимальный набор проверок кода, которые необходимо проводить каждой компании-разработчику?
- На чем основана логика работы сканеров кода и насколько ей можно доверять?
- Работают ли готовые наборы сигнатур и правил из коробки?
- Сканер показал кучу уязвимостей и ошибок. Как убедиться, что это не ложные срабатывания и оценить их критичность?
- На какие рекомендации по устранению уязвимостей и ошибок в коде могут рассчитывать разработчики?
- Как выбрать идеальный анализатор исходного кода?
- Как проверить безопасность приложения, если разработчик по контракту не раскрывает исходные коды?
- Как проверить лицензионную чистоту исходного кода?
Прогнозы
- Что ожидает рынок в перспективе 2-3 года?
- Появится ли у него четкая российская специфика?
- Как новые подходы к разработке повлияют на этот рынок?
Директор по информационной безопасности, WebmonitorX ex-Начальник отдела ИТ обеспечения защиты информации, СО ЕЭС
Управляющий директор, директор по продуктам, Positive Technologies
