Мнение Программного комитета о докладе
Авторы доклада рассказывают про несколько неочевидных способов взломать вашу систему, украсть персональные данные или пароли, которым может быть подвержено ваше приложение и дадут советы как их избежать.
6 причин заняться безопасной разработкой
Доклад принят в программу конференции
Целевая аудитория
Доклад будет полезен тем, кто обеспечивает или проверяет безопасность приложения: техлиды, разработчики, DevOps, App-Sec.
Тезисы
Как обеспечить безопасность своего продукта? Как соответствовать требованиям заказчиков и внутренней ИБ-команды?
Кажется, что ответ простой: нужно несколько сканеров кода, два крепких AppSec-инженера и быстро настроенная инфраструктура. Но проходит время, продукт обновляется и возникают простые Low уязвимости, которые игнорируются при анализе результатов сканирования, а рекомендуемые сроки исправления растягиваются из-за горящего бэклога.
Мы хотим показать, к каким последствиям приводит недостаток экспертизы команды разработки в безопасности — ненажатая галочка, невнимательное ревью, неверные настройки кэша — и как их можно исправить:
- аккаунты пользователей вдруг массово подвергаются взлому;
- мошенники узнают данные доступа к удаленным рабочим столам, потому что в незакрытом таск-менеджере оказались фотографии листочков с паролями;
- машины разработчиков, тестовые среды и даже прод оказываются захвачены злоумышленниками, потому что в конфигурациях пакетного менеджера случайно попал неверный пакет.
- и ещё несколько интересных примеров
- 5 лет в информационной безопасности, участвовал в различных CTF и проводил аудит защищенности приложений;
- разрабатывает методологию эффективного обучения разработчиков информационной безопасности в Start X;
- один из авторов практических тренажеров по безопасности в Start X;
- участник тематических конференций, в том числе, в качестве спикера на семинаре «Безопасная разработка программного обеспечения: зачем нужен DevSecOps».
Start X
Мы — российская исследовательская компания и разработчик программного обеспечения ООО «Антифишинг». Работаем с 2016 года и специализируемся на решении проблем человеческого фактора в информационной безопасности.Разрабатываем экосистему продуктов Start X, которая помогает сотрудникам распознавать и предотвращать цифровые атаки, а командам разработки быстрее выпускать защищенное ПО. Продукты экосистемы используются в российских и иностранных предприятиях и организациях из различных отраслей.
Видео
Другие доклады секции
TechLeadConf: Безопасность
