Анализ безопасности исходного кода 2022
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 09 ноября 2022 года и посвящённой новейшим методикам анализа безопасности исходного кода. 00:00 – Приветствие Льва Палей, модератора дискуссии 01:22 – Представление участников 06:52 – Что такое безопасный исходный код? 12:45 – Отличительные характеристики безопасного кода 14:41 – Риски от использования небезопасного кода 19:30 – Какое делятся работы по обеспечению безопасности кода между вендором и заказчиком? 26:06 – Результаты опроса 1: Анализируете ли вы исходный код своих проектов на безопасность? 28:32 – Выстраивание диалога между проверяющими код и разработчиками 31:15 – Каким компания требуется сертификация процессов проверки безопасности кода? 32:46 – Требуется ли изменить сертификацию под воздействием процессов SDLC (Systems Development Life Cycle)? 35:27 – Как связаны добавление новых функций в ПО и его сертификация на безопасность? 40:14 – Инструменты для проверки кода на безопасность на различных этапах его внедрения 49:16 – Аббревиатуры, используемые при задачах проверки безопасности кода – SAST, OSA, SCA, DAST, IAST, BAST. 54:35 – Результаты опроса 2: Какой из методов анализа безопасности исходного кода вы считаете наиболее важными в цикле SDLC? 57:39 – Можно ли обойтись без специальных инструментов при анализе кода на его безопасность? 1:04:38 – Результаты опроса 3: Что вас ограничивает во внедрении анализа безопасности исходного кода? 1:07:57 – Как устроен сканер безопасности кода? 1:13:10 – Что делать, если имеющиеся сканеры безопасного кода не умеют работать с конкретным языком? 1:19:50 – Как анализ безопасности кода помогает выполнению государственных и отраслевых стандартов и требований? 1:24:10 – Примеры нарушения безопасности кода и их последствия 1:30:20 – Какие новые вредоносные элементы научились выявлять в последнее время антивирусы? 1:31:30 – Как правильно выбрать разработчику идеальный анализатор исходного кода? 1:36:40 – Какой минимальный набор проверок кода необходимо выполнять для сертификации ПО? 1:42:52 – Результаты опроса 4: Какой из вариантов организации анализа безопасности исходного кода является оптимальным для вашей организации? 1:45:52 – Как проверять безопасность, если разработчик не раскрывает исходный код? 1:50:26 – Где искать ошибки в коде в первую очередь или надо искать везде? 1:54:29 – Результаты опроса 5: Каково ваше мнение относительно анализаторов безопасности исходного кода? 1:56:35 – Как будет развиваться сообщество, занимающееся проблемами обеспечения безопасности кода? 2:09:52 – Подведение итогов дискуссии Модератор: - Лев Палей, Начальник службы информационной безопасности, СО ЕЭС Спикеры: - Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар» - Денис Кораблев, Управляющий директор, директор по продуктам, Positive Technologies - Дмитрий Шмойлов, Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского” - Юрий Шабалин, Ведущий архитектор Swordfish Security - Анна Архипова, Ведущий менеджер по развитию продуктовых решений, ITD Group - Дмитрий Куколев, Руководитель группы разработки защищенных и безопасных продуктов, МТС - Михаил Волков, Руководитель группы департамента сертификации и тестирования, АО "НПО «Эшелон" #АнализКода #AMLive #cybersecurity #кибербезопасность #devops #devsecops Записи других прямых эфиров AM Live https://www.youtube.com/playlist?list… Присоединяйтесь к нам в соцсетях! https://t.me/anti_malware https://www.facebook.com/antimalwareru/ https://twitter.com/Anti_Malware https://vk.com/anti_malware
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 09 ноября 2022 года и посвящённой новейшим методикам анализа безопасности исходного кода. 00:00 – Приветствие Льва Палей, модератора дискуссии 01:22 – Представление участников 06:52 – Что такое безопасный исходный код? 12:45 – Отличительные характеристики безопасного кода 14:41 – Риски от использования небезопасного кода 19:30 – Какое делятся работы по обеспечению безопасности кода между вендором и заказчиком? 26:06 – Результаты опроса 1: Анализируете ли вы исходный код своих проектов на безопасность? 28:32 – Выстраивание диалога между проверяющими код и разработчиками 31:15 – Каким компания требуется сертификация процессов проверки безопасности кода? 32:46 – Требуется ли изменить сертификацию под воздействием процессов SDLC (Systems Development Life Cycle)? 35:27 – Как связаны добавление новых функций в ПО и его сертификация на безопасность? 40:14 – Инструменты для проверки кода на безопасность на различных этапах его внедрения 49:16 – Аббревиатуры, используемые при задачах проверки безопасности кода – SAST, OSA, SCA, DAST, IAST, BAST. 54:35 – Результаты опроса 2: Какой из методов анализа безопасности исходного кода вы считаете наиболее важными в цикле SDLC? 57:39 – Можно ли обойтись без специальных инструментов при анализе кода на его безопасность? 1:04:38 – Результаты опроса 3: Что вас ограничивает во внедрении анализа безопасности исходного кода? 1:07:57 – Как устроен сканер безопасности кода? 1:13:10 – Что делать, если имеющиеся сканеры безопасного кода не умеют работать с конкретным языком? 1:19:50 – Как анализ безопасности кода помогает выполнению государственных и отраслевых стандартов и требований? 1:24:10 – Примеры нарушения безопасности кода и их последствия 1:30:20 – Какие новые вредоносные элементы научились выявлять в последнее время антивирусы? 1:31:30 – Как правильно выбрать разработчику идеальный анализатор исходного кода? 1:36:40 – Какой минимальный набор проверок кода необходимо выполнять для сертификации ПО? 1:42:52 – Результаты опроса 4: Какой из вариантов организации анализа безопасности исходного кода является оптимальным для вашей организации? 1:45:52 – Как проверять безопасность, если разработчик не раскрывает исходный код? 1:50:26 – Где искать ошибки в коде в первую очередь или надо искать везде? 1:54:29 – Результаты опроса 5: Каково ваше мнение относительно анализаторов безопасности исходного кода? 1:56:35 – Как будет развиваться сообщество, занимающееся проблемами обеспечения безопасности кода? 2:09:52 – Подведение итогов дискуссии Модератор: - Лев Палей, Начальник службы информационной безопасности, СО ЕЭС Спикеры: - Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар» - Денис Кораблев, Управляющий директор, директор по продуктам, Positive Technologies - Дмитрий Шмойлов, Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского” - Юрий Шабалин, Ведущий архитектор Swordfish Security - Анна Архипова, Ведущий менеджер по развитию продуктовых решений, ITD Group - Дмитрий Куколев, Руководитель группы разработки защищенных и безопасных продуктов, МТС - Михаил Волков, Руководитель группы департамента сертификации и тестирования, АО "НПО «Эшелон" #АнализКода #AMLive #cybersecurity #кибербезопасность #devops #devsecops Записи других прямых эфиров AM Live https://www.youtube.com/playlist?list… Присоединяйтесь к нам в соцсетях! https://t.me/anti_malware https://www.facebook.com/antimalwareru/ https://twitter.com/Anti_Malware https://vk.com/anti_malware