Команда Anti-Malware.ru приглашает на онлайн-конференцию "DevSecOps часть 2: анализ исходного кода". Мероприятие состоится 26 марта (пятница) в 11:00 (МСК) и продлится 2 часа.
На конференции расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
Ключевые вопросы дискуссии:
- Рынок анализаторов безопасности исходного кода
- Зачем проверять исходный код на безопасность?
- Почему недостаточно проводить аудит безопасности готового ПО?
- Чем SAST отличается от DAST и кто из них лучше?
- Как безопасно использовать открытое программное обеспечение (open source)?
- Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?
- Технические особенности анализаторов безопасности исходного кода
- Откуда брать базы уязвимостей?
- Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка!= уязвимость)
- На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
- Какие языки программирования поддерживаются сканерами?
- Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
- Как проводить анализ, если подрядчик не раскрывает исходный код?
- Внедрений анализаторов безопасности исходного кода
- Как убедить разработчиков править свой код?
- Можно ли использовать готовые наборы правил из коробки?
- Насколько необходимо настраивать анализаторы под свою специфику разработки?
- Какая необходима интеграция анализаторов кода с другими системами?
- Тренды и прогнозы развития рынка
- Что ожидает рынок в перспективе 2-3 года?
- Как новые подходы к разработке повлияют на этот рынок?
- Будут ли SAST и DAST все больше доступны в виде сервиса из облака?
Приглашенные эксперты:
|
|
Анна Архипова Ведущий менеджер по развитию продуктовых решений, ITD Group |
|
|
Сергей Деев Менеджер продукта Solar appScreener, «Ростелеком-Солар» |
|
|
Дарья Орешкина Директор по развитию бизнеса, Web Control |
|
|
Алексей Жуков Эксперт отдела систем защиты приложений, Positive Technologies |
|
|
Валерий Куваев Архитектор решений Fortify в регионе ЕМЕА, Micro Focus |
|
|
Артём Синицын Старший руководитель программ ИБ в Центральной и Восточной Европе, Microsoft |
Модераторы:
|
|
Андрей Бешков Руководитель направления развития бизнеса, Softline |