Посетить Выступить партнером
18 июня 2025 | Radisson Blu Belorusskaya, Москва | зал "Шопен" | 11:00 — 16:10

 

Доверенные корпоративные репозитории и контроль кода

Партнеры Форума

Партнеры Форума

Партнер конференции

Важно контролировать и проверять весь код, который интегрируется в корпоративные системы. Бесконтрольное использование сторонних репозиториев, особенно Open Source, может привести к внедрению уязвимостей и безопасности. Конференция — о том, как защитить код: подходы к правильному формированию, наполнению и использованию корпоративных репозиториев кода для предотвращения появления уязвимостей в приложениях.

Стейдж-интервью «Где начинается родословная вашего кода?»

Стейдж-интервью "Где начинается родословная вашего кода?"

* Open Source: где заканчивается доверие и начинается контроль?
* Какой минимум контроля должен быть в CI/CD, чтобы считать код “с хорошей родословной”?
* Что сегодня делает репозиторий доверенным?
* Примеры из практики, когда код пришёл “из ниоткуда”
* ⁠Можно ли автоматизировать доверие к коду или это всегда ручной процесс?
* ⁠Где компании чаще всего теряют контроль над происхождением кода?
* ⁠Как прививать культуру “код должен быть с родословной” среди разработчиков?

Участники:
Иван Глушков (АНО "Открытый Код"), Алексей Хорошилов (ИСП РАН) и др.

Евгений Тодышев, УЦСБ

Митигация угроз связанных с цепочками поставок

Евгений Тодышев, руководитель направления безопасной разработки, Уральский центр систем безопасности (УЦСБ)
 
В докладе рассмотрим существующие угрозы и способы их митигации в трех случаях:

  • Когда ты разработчик ПО и встраиваешь OSS в свой код
  • При внешней заказной разработке
  • Использование ПО, в котором нет доступа к исходным кодам
Разберем пример с атакой на Codecov, в рамках которой пострадали их клиенты и что можно было ы предпринять, чтобы предотвратить атаку с описанием технической реализации и процессов контроля как со стороны самого разработчика, так и со стороны его клиентов.

В заключении доклада предоставлены рекомендации по построению Zero trust архитектуры для обеспечения безопасности цепочек поставок.
 
Алексей Смирнов, CodeScoring

Корпоративный (и безопасный) репозиторий для кода и артефактов это что?

Алексей Смирнов, генеральный директор и основатель CodeScoring
 
В докладе рассмотрим классификацию существующих терминов о репозиториях, в том числе их "безопасных" и качественных квалификаторов: контролируемый, доверенный, чистый, замкнутый и пр. Рассмотрим ключевые практики осмысленного содержания репозиториев с кодом и артефактами. В контексте безопасной разработки поговорим об удобстве конечных пользователей — разработчиков и специалистов автоматизации.
 
Алексей Хорошилов ИСП РАН

Доверенный open-source в корпоративном репозитории

Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН
 
Доверие к open-source компонентам может основываться на разных подходах. Контроль качества кода с использованием традиционных практик безопасной разработки — один из наиболее обоснованных, но требует значительных затрат квалифицированных ресурсов, поэтому применяется не так часто, как хотелось бы. В докладе представлен опыт внедрения этого подхода в Центре исследований безопасности системного ПО ИСП РАН, а также рассматриваются способы сокращения затрат за счёт совместного распределения стоимости работ с другими потребителями и международным сообществом разработчиков.
 
Денис Сплюхин РАСУ (Росатом)

DevSecOps в действии: автоматизация проверки кода в локальных доверенных репозиториях

Денис Сплюхин, главный эксперт АО "Русатом Автоматизированные системы управления" (Росатом)
 
В докладе представлен опыт внедрения DevSecOps для автоматизации проверки безопасности кода и выявления уязвимостей в локальных доверенных репозиториях предприятия. Данный подход обеспечивает комплексную защиту ПО и ПАК за счёт проведения испытаний по требованиям ИБ на собственной инфраструктуре
Валентин Малых, ООО «Центр искусственного интеллекта МТС» (MTS AI)

Поиск дубликатов в коде с помощью LLM

Валентин Малых, руководитель исследовательской группы MTS AI  

Одна из очень важных проблем при разработке - это рефакторинг, который невозможен без качественного поиска по кодовой базе. Мы разрабатываем технологию поиска дубликатов по кодовой базе, а также адаптируем ее для поиска известных уязвимостей.

Илья Мочалов, Mos.Hub (ДИТ Москвы)

МосХаб - облачная платформа для безопасной разработки ПО

Илья Мочалов, руководитель разработки платформы Mos.Hub, решений Mos.Track, Mos.Wiki, Mos.Sec (ДИТ Москвы)
 
Степан Дудник

Методология DevSecOps для финансовой отрасли

Степан Дудник, лидер Сообщества FinDevSecOps, технический директор HDTech (Высокие цифровые технологии)

  • Процесс безопасной разработки в финтехе, обзор регуляторики - "когда, зачем, кому"
  • Реальные кейсы применения инструментов для выполнения шагов pipeline'а. Интеграция в pipe.
  • Анонс отечественной методологии безопасной разработки от сообщества FinDevSecOps
cybersecurity-1-sq

Дискуссия “Безопасная разработка в финтехе: вызовы-2025”

Организатор: Сообщество FinDevSecOps
Татьяна Билык, ФинТех

Модератор: Татьяна Билык, директор технологических проектов Ассоциации ФинТех

Темы для обсуждения:
1. Текущее состояние безопасной разработки
2. Инструменты DevSecOps
3. Оптимизация и ускорение процессов
4. Регуляторика

Алексей Щербаков, Сбертех
Алексей Щербаков, начальник центра кибербезопасности платформы, Сбертех
Максим Кожокарь, Банк России

Максим Кожокарь, начальник Управления прикладных платформ Департамента информационных технологий, Банк России

Алексей Хорошилов ИСП РАН
Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения ИСП РАН
Вартан Падарян, ФГБУН “ИСП РАН”
Дмитрий Пузырев, руководитель лаборатории ИБ, Московская биржа
Степан Дудник
Степан Дудник, технический директор, HDTech (Высокие цифровые технологии)
Александр Гадай, ООО

Александр Гадай, руководитель службы консалтинга, ООО "Свордфиш Секьюрити"

Смотреть видеозапись
Монитор_sq

Ознакомительный номер издания ИА Монитор “Беспилотные авиационные системы": больше информации по теме

Мониторинг отраслевых СМИ от Информационного Агентства «Монитор»; Подписка на бюллетени экономит десятки часов рабочего времени, помогая отслеживать новости, продукты и решения ключевые слова и намерения игроков рынок, аналитические статьи и экспертные мнения. 
 

*Темы выступлений, тезисы и фотографии предоставлены докладчиками. Возможны изменения в программе.

ITSEC 2024

Решения для защиты российских ОС на Linux

15 октября | Radisson Blu Belorusskaya

Решения для защиты российских ОС на Linux

Защищенный удаленный доступ

15 октября | Radisson Blu Belorusskaya

Защищенный удаленный доступ

Защита АСУ ТП и объектов КИИ: готовность к 2025

16 октября | Radisson Blu Belorusskaya

Защита АСУ ТП и объектов КИИ: готовность к 2025

Есть о чем рассказать?

Демонстрируйте экспертизу компании, современние решения и эффективные технологии

Выступить в программе