Что значит «SafeCode»: о чём расскажут на конференции по безопасности приложений

от автора

«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции SafeCode 2024 может быть непонятно: о чём пойдёт речь в докладах? Для кого это будет?

Для начала стоит подчеркнуть, что конференция не просто «о безопасности», а конкретно «о безопасности приложений». То есть из множества вещей, связанных с security, здесь речь о тематике application security. Какие принципы обеспечения безопасности должны применяться на каждом этапе разработки ПО?

И это конференция не «для безопасников», а «для всех, кто связан с циклом разработки ПО»: ответственных разработчиков, тестировщиков, системных и бизнес-аналитиков, security-чемпионов, DevOps и SRE.

А поскольку конференция уже на следующей неделе, её программа полностью готова. Так что мы публикуем, и можете просто прочитать описания докладов в этом хабрапосте — вот тогда станет совсем ясно, о чём это и интересно ли вам лично.


WEB. Безопасность данных авторизации. Утечет или нет?

Артемий Юрьев

Газпромбанк

В докладе затронуты проблемы конфиденциальности данных авторизации при работе web-приложениями.

  • Рассматриваются различные механизмы авторизации в системах и веб-сервисах, от basic-авторизации до сложных технических токенов (включая JWT).

  • Предлагаются методики по аудиту безопасности веб-приложений на предмет возможности утечек с учетом способов их хранения в мобильных устройствах и браузерах.

  • Приводятся примеры трафика при передаче данных в авторизованной зоне. Какие бывают уязвимости, связанные с Broken access control (OWASP Top-1).

  • Описываются сценарии атак, применяемые злоумышленниками, и случаи утечек.


Фаззинг драйверов KasperskyOS

Евгений Новиков

Kaspersky

В докладе Евгений предложит подход к фаззингу драйверов KasperskyOS на основе движка libFuzzer. Покажет, каким образом достигаются достаточно сложные состояния, получается высокий процент покрытия кода и находятся те ошибки, которые затруднительно обнаружить с помощью других подходов к обеспечению качества.


AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума

Вячеслав Давыдов

Независимый эксперт

Алена Жилина

Независимый эксперт

В докладе:

  • Рассмотрим, что представляет собой приложение в контексте AppSec.

  • Разберемся с зоопарком практик и инструментов и обсудим, что вообще со всем этим делать.

  • Узнаем о подходе спикеров к оркестрации AppSec-инструментов в процессе или on-demand сценариях.

  • Посмотрим, как упрощают процесс работы с AppSec-инструментами и AppSec-практиками с помощью Kubernetes-оператора.


Прикладная криптография. С чего начать и что учитывать

Анкель Лихтенберг

ИнфоТеКС

При разработке продуктов часто требуется выполнение таких функций, как:

  • защищенное хранение информации;

  • авторизация пользователей;

  • использование электронной подписи и т. д.

Выполнение всех этих функций обеспечивается с помощью криптографических механизмов.

Криптография — это постоянно развивающаяся наука, которая требует от разработчика особого внимания. Поговорим о том, какие существуют способы реализации и использования, какие алгоритмы рекомендуется использовать и почему, где должны храниться ключи и почему именно так. Вам покажут, на что обратить внимание при разработке продукта, в котором необходимо использовать криптографические функции.


Готовим контейнеры полезно и вкусно

Анатолий Карпенко

Luntry

Алексей Федулаев

MTC Web Services

Кто сказал, что готовить контейнеры вкусно и полезно трудно? Вовсе нет, если под рукой у вас наш воркшоп, в основе которого лежит идея, согласно которой полезные контейнеры должны быть доступны всем, а не только безопасникам. Вкусные и полезные контейнеры могут готовить и разработчики, и инженеры эксплуатации, и тестировщики, не тратя на это слишком много усилий и времени.

Независимо от вашего уровня кулинарного мастерства этот воркшоп поможет вам создавать полезные и вкусные контейнеры день за днем, используя качественные базовые образы, свежие пакеты и правильные рецепты конфигураций. Все рецепты успешно прошли испытание временем, в них учтены различные тонкости и нюансы, благодаря которым контейнерам можно придать нужные вам безопасные свойства.


Attack, Defend, Repeat: цикличность, история и эволюция бинарных атак и защит

Сергей Игнатов

ИСП РАН

Рассмотрим эволюцию методов защиты от бинарных уязвимостей, таких как переполнение буфера и повреждение памяти. На протяжении многих лет атакующие и защитники вели бесконечную «игру в кошки-мышки», что приводило к развитию все более сложных методов защиты. В ходе доклада вам расскажут, как методы защиты памяти прошли путь от неисполняемого стека до современных решений, таких как Control Flow Integrity (CFI) и ARMv8 Memory Tagging Extension (MTE).

Мы изучим, какие защитные технологии формируют сегодняшний ландшафт, обсудим их возможности для дальнейшего развития и способы усиления перед новыми вызовами. В конце доклада у вас появится больше понимания о ключевых инструментах и подходах для повышения безопасности ваших систем и о грядущих угрозах, требующих решения.


Как работать с PVS-Studio в Visual Studio

Евгения Елтукова

PVS-Studio

PVS-Studio — статический анализатор кода для поиска опечаток, логических ошибок и потенциальных уязвимостей в коде программ, написанных на языках C, C++, C#, Java. В этом видео Евгения познакомит вас с плагином PVS-Studio для среды разработки Microsoft Visual Studio.

Пройдем весь путь работы с анализатором: от скачивания плагина до работы с результатами анализа. Вы узнаете:

  • как запускать анализ;

  • какие способы сортировки предупреждений предлагает плагин;

  • как быстро посмотреть самые достоверные предупреждения;

  • что делать с ложноположительными срабатываниями;

  • какие настройки сделают отчет анализатора более точным.


Посторонним вход воспрещен: ошибки аутентификации и авторизации

Анна Куренова

ATI.SU

Что собой кратко представляет вход в систему:

  • Идентификация пользователя — проверка, что пользователь существует в системе.

  • Аутентификация — проверка подлинности (пароля, токена и т. д.).

  • Авторизация — предоставление доступа.

Рассмотрим проблемы безопасности этого процесса, найденные в ходе Bug Bounty.

Это логические проблемы:

  • Изменения аутентификационных данных.

  • Обход этапов аутентификации — 2FA

  • Проблемы авторизации.

Разберемся, как этих уязвимостей можно было избежать на этапе проектирования и разработки.


Эволюция угроз Gen AI и адаптация security фреймворков

Евгений Кокуйкин

Raft

Евгений рассмотрит ключевые изменения в классификации рисков, связанных с внедрением генеративного ИИ. Подробно остановимся на изменениях во фреймворке оценки безопасности моделей Llama, проанализируем, какие риски вендоры выделяют в первую очередь и какие пробелы остаются незакрытыми.

Особое внимание уделим решениям по защите, предлагаемым CYBERSECEVAL 3, и тому, как они помогают минимизировать угрозы. Кроме того, рассмотрим другой важный фреймворк — OWASP Top 10 LLM — и то, как его обновленные версии учитывают развитие моделей и появление новых типов рисков.


Модельные варианты ошибок, или Как статические анализаторы находят ошибки, которые не могут искать

Андрей Карпов

PVS-Studio

ГОСТ Р 71207, касающийся статического анализа кода, вводит термин «модельный вариант» ошибок. Андрею как разработчику статического анализатора это понятие кажется очень интересным и важным. Дело в том, что невозможно в общем виде искать такие ошибки, как неопределенное поведение, разыменование нулевых указателей или опечатки. Но искать их нужно.

Как же создатели анализаторов выходят из этой ситуации? Как раз с помощью понятия модельных вариантов ошибок (даже не зная, что они так называются), сводя поиск ошибки общего типа к задаче поиска ошибок множества подтипов.

Давайте заглянем внутрь PVS-Studio и посмотрим, как происходит поиск ошибок, несмотря на технологические ограничения методологии статического анализа.


Взломай SafeCode вместе с хакером

Алексей Морозов

ecom.tech

Как хакеры вживую ломают ресурсы? На этот вопрос ответим на мастер-классе. Возьмем живой сайт и попробуем найти как можно больше уязвимостей. В процессе Алексей будет рассказывать про инструменты и способы, используемые для взлома сайта конференции.


Анализ поведения как способ контроля безопасности frontend-приложений в DevSecOps

Михаил Парфенов

DPA Analytics

JavaScript-приложения, выполняемые в браузерах пользователей, содержат критичную информацию и используются для атак на пользователей. При этом браузер клиента является слепой зоной для безопасности.

Анализ поведения фронтенд-приложения перед релизом в DevSecOps и разбор отклонений от зафиксированного профиля позволяют выпускать приложения по принципу Secure by Design. Дополнительно мы сможем обнаружить НДВ и вредоносное поведение JavaScript-кода в прямых и транзитивных зависимостях.

Поговорим о составляющих профиля поведения фронтенд-приложения, понятии Software Bill of Behavior (SBOB), методах его автоматизированного сбора и подходе Frontend Application Security Testing (FAST).


ВДНХ

«ВДНХ» — это отдельный тематический блок. В нём собраны не доклады в привычном формате, а видеоролики об AppSec-решениях, которые применяются в отечественных IT-компаниях:

Подходы к защите контейнерных сред и приложений

iТорри Team

ТОРЭКС

Сканирование образов — важный элемент процесса защиты контейнерных сред и приложений, но, к сожалению, не позволяет обеспечить защиту приложения на всем его жизненном цикле.

Если вы уже озаботились поиском уязвимостей образов, которые используют ваши разработчики, то самое время задуматься о контроле безопасности настроек самой инфраструктуры (security posture management), а также о защите уже запущенных приложений в режиме реального времени (runtime protection).

Эффективная защита может быть выстроена как с помощью набора различных инструментов, закрывающих отдельные задачи, так и с помощью специализированных программных платформ класса Cloud Native Security Platform.

Выстраивая систему защиту контейнеров, важно помнить, что она должна базироваться на трех основных принципах:

  1. проверка образов;

  2. контроль настроек инфраструктуры;

  3. контроль приложений в режиме реального времени.


Пример практического использования Natch для анализа

Иван Васильев

ИСП РАН

Видео затрагивает важную тему тестирования программных систем, особенно когда речь идет о выявлении уязвимых мест. Поскольку тестирование всего кода — задача трудоемкая, акцент стоит делать на анализе поверхности атаки. В этом помогает Natch — инструмент динамического анализа на базе эмулятора QEMU.

На примере программы ONLYOFFICE Иван показывает, как Natch фиксирует взаимодействия системы с данными. После этого SNatch — компонент для визуализации — помогает разобрать, как процессы и модули работают с чувствительными данными. С его помощью можно легко понять, где могут скрываться уязвимости, благодаря различным графикам и отчетам.

Пример с ONLYOFFICE демонстрирует, как Natch помогает находить проблемные участки в ПО без глубокого изучения кода. Такой подход упрощает фаззинг-тестирование и делает процесс тестирования более эффективным, что в итоге повышает безопасность программных продуктов.


Как работать с PVS-Studio в Visual Studio

Евгения Елтукова

PVS-Studio

PVS-Studio — статический анализатор кода для поиска опечаток, логических ошибок и потенциальных уязвимостей в коде программ, написанных на языках C, C++, C#, Java. В этом видео Евгения познакомит вас с плагином PVS-Studio для среды разработки Microsoft Visual Studio.

Пройдем весь путь работы с анализатором: от скачивания плагина до работы с результатами анализа. Вы узнаете:

  • как запускать анализ;

  • какие способы сортировки предупреждений предлагает плагин;

  • как быстро посмотреть самые достоверные предупреждения;

  • что делать с ложноположительными срабатываниями;

  • какие настройки сделают отчет анализатора более точным.


Security observability в Kubernetes

Сергей Канибор

Luntry

DevSecOps — это процесс. И сегодня в процессе обеспечения безопасности задействована не одна команда, а множество, и каждая должна вносить свой вклад быстро, эффективно и надежно (не мешая и не ломая ничего другим).

Кто-то выстраивает пайплайн безопасной разработки, кто-то харденит инфраструктуру Kubernetes, кто-то мониторит происходящее в контейнерах и т. д. Из видеоролика вы узнаете, как Luntry может помочь разработчикам, QA-специалистам, системным аналитикам, Ops/DevOps/DevSecOps, командам ИБ и SOC строить и поддерживать надежную и безопасную инфраструктуру.


Тестируем и сравниваем WAF за 15 минут

Лев Палей

Вебмониторэкс

В этом видео разберем основные цели тестирования WAF, включая выявление уязвимостей и оценку эффективности защиты. Вы узнаете о типичных ошибках, с которыми сталкиваются при тестировании WAF, а также о том, как их избежать. Лев поделится с вами рекомендациями по источникам данных для составления тестов, чтобы ваши проверки были максимально информативными и результативными.

Особое внимание уделим методам проверки качества парсинга и декодирования запросов WAF. Вы увидите, как некорректная обработка запросов может привести к уязвимостям. Кроме того, познакомимся со специализированными утилитами для тестирования WAF, которые помогут проводить проверки более эффективно и систематически.


Интервью

А ещё, помимо докладов-монологов, будут и три диалога:

Интервью с Денисом Макрушиным

Денис Макрушин

В главной студии SafeCode 2024 Autumn — Денис Макрушин, независимый эксперт по информационной безопасности, бывший технический директор МТС, автор Telegram-канала про кибербезопасность, технологии и людей и новый участник Программного комитета конференции.

Поговорим о том, как для Дениса прошел первый сезон. Также обсудим набор программы: как он происходит, на что Программный комитет обращает внимание при рассмотрении заявок, какие особенности есть у программы в этом сезоне, что нужно знать спикерам, желающим принять участие в конференции.


Интервью с Никитой Соболевым

Никита Соболев

wemake.services

Никита — full time open source-разработчик и мейнтейнер проекта СPython. В интервью обсудим:

  • Профессиональный путь Никиты: с чего начинал, какие языки и технологии использует.

  • Как совмещать участие в open source-проектах, основную работу и личную жизнь.

  • Подходы к оценке фич, которые разработчики предлагают добавить в Python, и распределение задач.

  • Споры при разработке новой фичи и как их «разруливать».

  • Фичи, которых, по мнению Никиты, не хватает в Python.

  • Определение стратегии развития Python и создание стандартов языка.

  • Вопросы безопасности Python и open-source проектов в целом. OSS-Fuzz от Google и Bug Bounty от HackerOne.


Интервью с Сергеем Головановым

Сергей Голованов

Kaspersky

Сергей — главный эксперт по безопасности в Kaspersky. 20 лет в кибербезе научили его не удивляться ничему.

В формате интервью Сергей расскажет, как хакеры видят ошибки в коде, какие проблемы безопасности встречаются чаще всего при расследовании киберинцидентов, и поделится опытом анализа уязвимостей.


Заключение

Остальная информация — на сайте SafeCode, билеты можно приобрести там же, и сама конференция пройдёт на этом сайте.

Кто-то может спросить: «Зачем онлайн-конференции, когда офлайн уже давно вернулся после пандемии? Полезные видеозаписи в интернете и без конференции можно смотреть».

Но во-первых, мы стараемся, чтобы этот опыт отличался от простого просмотра записей. Например, после любого доклада участники могут как следует расспросить спикера — такого при простом просмотре записей нет.

А во-вторых, мы видим, что потребность в онлайне есть: многим людям удобно, когда к конференции можно подключиться откуда угодно, поставить доклад на паузу и так далее. И посещение офлайн-конференции приходится как следует планировать заранее — а вот принять решение про онлайн-конференцию можно хоть в последний день.

Если вам для такого решения нужна ещё какая-то информация, которой на сайте нет — смело задавайте вопросы в комментариях.


ссылка на оригинал статьи https://habr.com/ru/articles/853514/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *