Кому и зачем нужна безопасная разработка программного обеспечения (DevSecOps)

Инциденты, финансовые и репутационные потери - это последствия ошибок на стадии разработки продуктов. Как избежать этих ошибок? В новом выпуске АМ Live Plus мы обсудили важность и базовые основы безопасной разработки программного обеспечения (РБПО) или DevSecOps. Смотрите первую часть эфира AM Live Plus, и вы узнаете: 🔸Почему безопасная разработка (DevSecOps) – это важно? 🔸Какие факторы влияют на рост спроса на безопасную разработку? 🔸К чему может привести проблема бума отечественной разработки на волне импортозамещения? 🔸Как государство стимулирует безопасную разработку? Какие требования предъявляют регуляторы к РБПО? 🔸Как решать кадровые вопросы? Как сделать безопасную разработку общепринятой культурой и неотъемлемой частью разработки любой компании? 🔸Какие можно выделить уровни зрелости процесса DevSecOps? 🔸Как процесс безопасной разработки адаптировался к текущему уровню угроз? Тайм-коды: 00:00:00 Вступление и представление участников 00:00:51 Важность безопасной разработки 00:02:11 Причины роста спроса на безопасную разработку • Безопасная разработка адаптируется к современным технологиям и процессам • Цифровизация и увеличение количества кода требуют новых подходов к безопасности • Классическая безопасность не всегда справляется с новыми угрозами 00:03:50 Уязвимости и эксплойты • Время до появления эксплойта по известной уязвимости сократилось до 24 часов • Автоматизация и цифровизация усложняют поиск и эксплуатацию уязвимостей 00:06:15 Проблемы и решения в безопасной разработке •Уязвимости и эксплойты появляются быстрее, чем патчи • Важно быстро обновлять и патчить уязвимости • Автоматизация процессов безопасности помогает минимизировать ошибки 00:09:00 Шифт влево и вправо в разработке • Шифт влево: меры безопасности должны внедряться на ранних стадиях разработки • Шифт вправо: меры безопасности должны продолжаться и после выпуска приложения 00:12:46 Проблемы импортозамещения и безопасности 00:14:53 Проблемы безопасности в ПО 00:15:50 Регуляторы и безопасная разработка 00:16:35 Стандарты и сертификация 00:23:43 Примеры успешных кейсов 00:27:20 Изменения в подходах к безопасной разработке 00:28:16 Внедрение безопасной разработки • Безопасная разработка рассматривается как процесс, а не просто внедрение инструментов 00:29:33 Процесс безопасной разработки • Статический и динамический анализ на этапах сборки и тестирования 00:31:02 Проблемы и атаки на пайплайн • Уровень зрелости российских организаций растет, но процесс внедрения варьируется 00:33:23 Инфраструктура и требования 00:36:53 Результаты опроса «С чем в первую очередь связан ваш интерес к безопасной разработке?» 00:38:22 Кадровый вопрос 00:42:10 Роль выделенного человека в безопасности 00:43:05 Пайплайн безопасности 00:44:15 Статический анализ и безопасность кода • Статический анализ должен проводиться на каждом этапе разработки • Важно проверять код при каждом изменении для выявления уязвимостей 00:46:23 Контейнерная безопасность и архитектура 00:47:28 Новые инструменты и практики • Новые инструменты помогают выявить уязвимости на ранних этапах 00:49:56 Курсы по информационной безопасности 00:51:48 Репозитории и внешние зависимости 00:55:06 Ответственность и репозитории • Обсуждение коммерческого решения “Феникс“, которое позиционируется как безопасный репозиторий 00:56:02 Специализация и обновления 00:57:11 Безопасность и разработка 00:58:54 Автоматизация безопасности 01:01:44 Результаты опроса «Предъявляете ли вы требования к безопасности разработки у своих поставщиков и партнеров?» ⭐️Модератор: Илья Шабанов, Генеральный директор, «АМ Медиа» ⭐️Спикеры: • Алексей Антонов, директор по развитию бизнеса безопасной разработки Positive Technologies • Екатерина Гайнуллина, эксперт по информационной безопасности, Security Vision • Антон Прокофьев, руководитель отдела операционной поддержки, ГК «Солар» • Дмитрий Шмойлов, Руководитель отдела безопасности программного обеспечения, «Лаборатория Касперского» Календарь трансляций AM Live Сотрудничество и связь с редакцией: author@ По вопросам рекламы: sales@