С развитием цифровизации без преувеличения ни одна крупная коммерческая или государственная организация в России не обходится без непрерывной внутренней разработки. В то же время этот процесс требует повышенного внимания к безопасности на всех этапах цикла CI/CD, особенно в непростых текущих геополитических условиях. Именно поэтому в России за последний год резко вырос спрос на экспертизу и решения по DevSecOps.
В прямом эфире AM Live вы узнаете о лучших практиках российской безопасной разработки, как правильно внедрить организационные и технические меры безопасности на каждом ее этапе. Как решить кадровый вопрос и какие средства защиты российского производства могут быть полезны.
Ключевые вопросы дискуссии:
- Безопасная разработка в российских компаниях
- Что такое и для чего нужна безопасная разработка?
- Примеры безопасной и опасной разработки
- Чем DevSecOps отличается от Cloud Native Security или Continuous Security?
- Какие факторы влияют на рост спроса на безопасную разработку?
- Какие требования безопасной разработки предъявляют регуляторы?
- Как работает подход к безопасности Shift Left и Shift Everywhere?
- Какие можно выделить уровни зрелости процесса DevSecOps?
- Из чего состоит идеальный процесс DevSecOps по-российски и какие средства для этого нужны?
- Каковы уровни зрелости процесса DevSecOps в организации?
- Чем отличается процесс DevSecOps в разработке ПО on-premise и веб-приложений?
- Практика внедрения безопасной разработки
- С чего начать при внедрении DevSecOps?
- Насколько DevSecOps меняет устоявшийся конвейер разработки с точки зрения процессов, если до этого компания не применяла никакие подобные средства?
- Кадровый вопрос: как вырастить своего Security Champion и можно ли его нанять?
- Как правильно подготовить инфраструктуру разработки к внедрению DevSecOps?
- Как применять концепцию Zero Trust к процессу разработки?
- Какие меры безопасности необходимы на каждом этапе цикла CI/CD?
- Каковы лучшие практики проверки исходного кода?
- Как сделать безопасным использование Open Source?
- Какие наложенные средства безопасности являются стандартом в DevSecOps?
- Нужно ли рассматривать WAF, anti-DDoS и bug bounty в качестве инструментов DevSecOps?
- Какие средства автоматизации в DevSecOps есть на рынке?
- Насколько меры и проверки безопасности могут затормозить процесс деплоя новых функций?
- Какие нюансы и сложности в процессе DevSecOps возникают при внешней разработке?
- Прогнозы
- Будет ли выработан российский стандарт и требования регуляторов по безопасной разработке?
- Станет ли DevSecOps общепринятой культурой и неотъемлемой частью разработки любой компании?
- Какие технологии и средства в ближайшем будущем могут значительно упростить процесс DevSecOps?
Приглашенные эксперты:
|
Юрий Шабалин
Ведущий архитектор Swordfish Security
|
|
Сергей Волдохин
Директор по продуктам экосистемы Start X
|
|
Алексей Астахов
Руководитель продуктов Application Security, Positive Technologies
|
|
Валерий Куваев
Руководитель направления защищенной разработки, SolidLab
|
|
Анна Архипова
Ведущий менеджер по развитию бизнеса, ITD Group
|
Модераторы:
|
Всеслав Соленик
Директор по кибербезопасности, "СберТех"
|