SafeCode: новая конференция по безопасности приложений

d57583f3039bf5220ed5201e39f5f604.jpeg

Привет! Мы решили запустить новую конференцию про безопасность приложений SafeCode, которая пройдет весной 2024 года в онлайне. Она не только для ИБ-специалистов, но и для тех, кто так или иначе связан с безопасностью разработки: security-чемпионов, тестировщиков, пентестеров, разработчиков, хакеров, системных администраторов, DevOps- и SRE-инженеров.

Почему мы решили, что она нужна? Что там будет? Как там выступить самому?   Отвечаем на эти и другие вопросы.

Оглавление

  • Почему запускаем сейчас

  • Чего ждать от конференции

  • Кто нам помогает её делать

  • Как выступить на ней

Почему запускаем сейчас

Стала ли тема информационной безопасности актуальнее?  

Вообще она всегда была и будет актуальной. Но теперь стала более мейнстримной, и на нее обратили внимание не только специализированные СМИ. Уязвимостей не стало революционно больше, но внимания к каждой — стало. 

Кроме того, всеобщее внимание делает безопасность «модной». Это своеобразное конкурентное преимущество — «безопасный» продукт или сервис скорее купят. Очень много компаний бегут в DevSecOps, потому что их конкуренты уже это сделали.

Тем временем всё большая часть жизни и бизнеса переезжает в цифровую сферу: мы доверяем программам деньги, переписку, личную жизнь, имущество, здоровье. А это значит, что и риски тоже возрастают. 

Когда-то хакеров представляли как романтизированное сообщество «Робин Гудов», а сегодня это рутина. Одни атакуют, чтобы заработать, другие — чтобы избавиться от конкурентов по бизнесу или в политике. Любой компании важно понимать, что рано или поздно объектом атаки станет и она. Даже небольшие компании подвержены атакам — есть мелкие хакеры, для которых и эта добыча будет достаточно весомой. Воруют всё: персональные и медицинские данные, номера карточек, и деньги. Ломают всё — просто чтобы полежало.

В общем, сегодня есть два типа компаний: те, которые уже занимаются информационной безопасностью, и те, которые пока ей не занимаются. 

А конкретнее? Примеры в студию!

Иногда компании начинают заниматься безопасностью только после того, как инцидент уже случился. Например,   по отчету OSSRA 2023 84% кодовых баз содержат уязвимости в сторонних компонентах — любая из них может «выстрелить» завтра.

Один из ярких примеров — атака на SolarWinds, которую признали крупнейшей по последствиям атакой на цепочку поставки ПО (Supply Chain Attack).Подробности можно почитать в Wired или цикле статей в Хакере. 

Другой пример — группа ACE/RCE-уязвимостей (CVE-2021–44228, CVE-2021–45046), выявленных в Java-библиотеке Log4j, которая затронула 8% экосистемы Maven. Этой брешью воспользовались атакующие, чтобы внедрить вредоносные приложения и украсть данные. Оперативно защититься можно наложенным средством типа WAF (Web Application Firewall) —, но лучше, если и сами разработчики будут следить за тем, какие версии компонентов они включают в собственные продукты.

Более того — некоторые ошибки допускаются совершенно дилетанские. Когда то, что не должно, «торчит» в интернет, даже один парт-тайм-специалист по ИБ  в компании может резко улучшить ситуацию — ведь и здесь применимо правило Парето про 80/20 процентов.

Чего ждать от конференции

Про безопасность для всех, а не только для специалистов по ИБ

SafeCode — конференция не только для ИБ-специалистов. Хотим научить и мотивировать всех задействованных в разработке учитывать безопасность в своей работе.

Практические технические доклады

Главное, что унесет с конференции участник — что он может сделать здесь и сейчас для того, чтобы повысить защищенность своего сервиса или приложения.

Безопасность не может быть добавленной фичей — это свойство системы

Безопасность продукта или сервиса создают те, кто его разрабатывает. Поэтому на SafeCode мы хотим объединить разработчиков и специалистов по ИБ.

Узкоспециализированность

Информационная безопасность в целом — это довольно широкая тема, в которую входят самые разные вещи. А вот конкретно безопасность приложений (App Security) — довольно узкий и конкретный сегмент ИБ. SafeCode сосредоточен именно на этом сегменте, и это позволяет залезть в тему как следует, а не пройтись по верхам.

Кто нам помогает делать конференцию

В Программный комитет SafeCode вошли эксперты по ИБ, которые специализируются на инструментах, процессах, уязвимостях, пентестинге и не только. Рассказываем  о них подробнее.

c8bf4b44e797cf1b8deb8e88c6d49ed5.jpegАлександр Белоцерковский

Разбирается в архитектуре безопасности в разных ее ипостасях: от Connected Car и девайсов до общих вещей типа сетевой безопасности в облаке.

Сейчас — евангелист-архитектор в VK Tech технологической вертикали VK. До этого 10 лет работал в Microsoft архитектором облачных проектов с самого «детства» Azure, где помогал с облачной архитектурой и рассказывал о технологиях и реализованных проектах. 

В восторге от таких тем, как eBPF, WebAssembly. Считает, что это прекрасный пример того, как условно старые технологии начинают блистать в новых сценариях.

dfbf8976c886534e8e99a41f59833b50.jpegАлександра Сватикова 

Сфера интересов — system design, web security, mobile security.

Сейчас —системный архитектор в Yandex Cloud, проектирует систему Identity and Access Management. 

Свой путь в ИБ начала 12 лет назад в команде Application Security крупной телеком-компании.

8 лет отвечала за продуктовую безопасность Одноклассников. 

Несколько лет вела курс «Безопасность интернет-приложений» в образовательном проекте VK в СПбГПУ, где рассказывала о безопасности разработчикам. Больше всего ценит возможность влиять на комьюнити. 

a144e8a6e9c8b4d5cfd6625baafe3906.jpegАлексей Морозов

Четырехкратный чемпион  PHDays и StandOff. Долгое время руководил отделом Defensive Application Security в Тинькофф. 

8 лет стажа в области безопасности. Начинал как программист, дорос до тимлида на стеке ASP.NET, а потом в один прекрасный день решил, что хочет стать хакером — и стал. 

Выступал на Positive Hack Days, HighLoad, PiterPy и митапах. 

d725afe82f1a3638b0f53e55cc259a87.jpegАлексей Смирнов

Пришел в безопасную разработку через научную работу, программирование и управление разработкой. 

Долгие годы в этой сфере и понимание того, что многие не знают, из чего состоят их программные продукты, подтолкнуло его к созданию  собственной платформы CodeScoring, которая реализует практику компонентного (OSA) и композиционного анализа (SCA) — и что является одним из важных кирпичиков той самой безопасной разработки, о которой мы сегодня говорим.

Кроме SafeCode Алексей помогает нам c конференцией для Python-разработчиков PiterPy. Важность освещения безопасной разработки на отдельной тематической конференции поднимал уже давно, и когда Андрей Дмитриев сказал, что JUG Ru Group решили сделать такую конференцию, Алексей ответил: «Ни слова больше!»

ae31315ca10ccceefe8eecb79c251e22.jpegАлексей Федулаев 

Более 13 лет в информационной безопасности. Занимался сертификацией устройств, работал над безопасностью ОС Аврора и в Лаборатории Касперского. В стартапе строил безопасную разработку с нуля. 

Сейчас — руководитель направления автоматизации безопасной разработки в Wildberries.

Считает, что безопасность — неотъемлемая часть нашей жизни, и готов участвовать в повышении осведомленности о безопасности, угрозах и возможных последствиях, создавая лучшее будущее. Состоит в Программном комитете конференции DevOops, где тоже отвечает за безопасность.

bfc721edd6f631314a570340b1405bdf.jpgСветлана Газизова 

Побывала на двух берегах: IT — в системном анализе и руководстве, и ИБ — была тем единственным ИБ-специалистом, который «и швец, и жнец». 

Знает, как больно сражаться с безопасностью в IT, и с комплаенсом — в ИБ. 

Сейчас занимается безопасной разработкой внутри консалтинговой компании — cтроит секьюрные процессы в банках, ритейле, финтехе. 

Стремится популяризировать направление безопасной разработки среди IT-специалистов.

f457cf4d5ffcd5359b89ebaec94fccd3.jpegСергей Деев

Менеджер продукта по управлению процессом безопасной разработки в MTC RED. Постоянный участник ТК 362. Работает в ИБ более 10 лет.

e34255407b63bef93eaba9b0db30de8f.pngАлексей Гончаров

AppSec-энтузиаст, участник OWASP. Руководитель продуктовой безопасности в Positive Technologies.

3ec2ca0f1f720eba15ba335c3fbb2373.jpegВладимир Кочетков

Эксперт по безопасности приложений — занимается этой областью более 15 лет. Руководит направлением экспертизы AppSec в Positive Technologies. Лидер сообщества безопасной разработки POSIdev.

b468503a2aa2ad17f6c5a19ef79e1218.jpegАндрей Дмитриев 

Организатор технических конференций в JUG Ru Group. Занимался разработкой бэкендов на Java, руководил командой мобильной разработки и управлял отделом нагрузочного тестирования. Считает, что SafeCode станет точкой притяжения для тех, кто занимается безопасностью приложений:

Мы проводим много разных конференций и заметили, что их участники, партнеры и сами члены ПК все чаще и чаще задают вопросы про информационную безопасность. Из разряда: вот джавистов мы к вам отправляем, а безопасностью непонятно где озадачивать. Или что на вашей конференции что-то маловато про безопасность. 

Надо признать, что на наших конференциях довольно часто можно встретить доклады про AppSec. Но точкой притяжения для тех, кто этим занимается, это не становится. Получается, что триггером для нас являются внешние факторы.

b847f16674e53fc440478767369fab81.jpegЕкатерина Абросимова

Программный координатор SafeCode. Ответит на любые вопросы о конференции. Обращайтесь в Telegram или пишите на почту ekaterina.abrosimova@jugru.org — вы услышите самые свежие и дружелюбные разъяснения.

Как выступить

Если вам было бы интересно не только посетить конференцию, но и есть чем поделиться, то сейчас — самый подходящий момент подать заявку.

Выбираете интересующую вас тему из списка на сайте SafeCode. Если хотите рассказать о чем-то другом — предлагайте любые идеи. Мы рассмотрим ее и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.

Мы поддержим вас на всех этапах: назначим персонального куратора, поревьюим материал, поможем с доработкой, проведем репетиции и дадим рекомендации по выступлению.

Мы можем помочь вам с темой: если есть сомнения или нужно сместить фокус; если надо расширить или сузить тему, добавить примеров или, наоборот, больше теории; сформулировать тему, расставить акценты, понять что попадет в аудиторию и, в конце концов, просто уложиться во время: донести всё ценное и убрать «воду».

Вы расскажете о своих проектах и разовьетесь как эксперт. Обменяетесь опытом и контактами с другими экспертами отрасли. Получите смонтированную запись выступления в 4K и бесплатный билет на все наши конференции весны.

Напоследок

Детальная программа конференции станет известна позже. Если вас заинтересовала тема и не хотите пропустить информацию —  подписывайтесь на соцсети SafeCode:

А еще мы ищем гостей в наши подкасты. Если вы не хотите готовить доклад со слайдами, но готовы просто пообщаться на интересующую вас тему, то пишите программному координатору в Telegram.

© Habrahabr.ru