Команда Anti-Malware.ru приглашает на онлайн-конференцию "Разработка безопасного программного обеспечения (РБПО)". Мероприятие состоится 27 июня (пятница) в 11:00 (МСК) и продлится 2 часа.

Современное программное обеспечение и его исходный код всё чаще становятся мишенью: от утекших токенов до целевых атак через CI/CD. Разработка ПО с учётом требований безопасности – больше не роскошь, а обязательный процесс, который экономит деньги организации.

В прямом эфире AM Live мы разберём, как внедрить безопасность в каждую фазу жизненного цикла разработки ПО: от создания модели угроз, разработки концепции продукта и его архитектуры, до контроля секретов, композиционного анализа (SCA), использования сканеров исходного кода (SAST, DAST) и управления уязвимостями.

Обсудим рабочие практики, частые ошибки, реальные кейсы и новый российский ГОСТ Р 56939-2024 как каркас зрелости процессов РБПО.

Ключевые вопросы дискуссии:

Как встроить безопасность в процесс разработки

• Что обычно становится триггером для внедрения РБПО: инцидент, аудит, клиент?
• Кто и когда должен сформулировать требования к безопасности разрабатываемого ПО?
• Какие методологии применяются на практике (Secure SDLC, DevSecOps, ГОСТ Р 56939-2024)?
• Как проходит обучение и вовлечение разработчиков в тему безопасной разработки?
• Как правильно учитывать безопасность в low-code/no-code проектах и при работе с LLM?
• Как управлять найденными уязвимостями: процессы, триаж (triage), баг-репорты?
• Блиц: Самая дурацкая ошибка в разработке, которая обернулась инцидентом?

Технологии обеспечения процесса РБПО

• Какие этапы жизненного цикла самые уязвимые — и почему?
• Что считать базовыми элементами безопасности в CI/CD пайплайне?
• Как разработать и учесть модель угроз (Threat Modeling) при разработке ПО?
• Как обеспечить контроль доступа к репозиторию исходного кода и среде разработки?
• Зачем нужен композиционный анализ программного продукта (SCA, Software Composition Analysis)?
• Какие инструменты анализа кода используются: SAST, DAST, IAST — что реально работает?
• Где и как безопасно хранить секреты (токены, API-ключи, пароли)?
• Что эффективнее — отдельные “security review” или интеграция проверки безопасности в обычный “code review”?
• Как тестировать безопасность приложения перед и после релиза?
• Блиц. Частые ошибки, которые встречаются в большинстве компаний-разработчиках ПО

Итоги и прогнозы

• Какие этапы разработки потребуют усиления защиты в ближайшие 2 года?
• Какие инструменты и подходы придут в РБПО с развитием ИИ?
• Как будет меняться взаимодействие ИБ и разработки?
• Как будут меняться стандарты и требования регуляторов для РБПО в ближайшее время?

Приглашенные эксперты:

• Уточняется
• Уточняется

Модераторы:

• Уточняется
• Уточняется