#доклады

На SafeCode 2024 появились первые доклады! Пора знакомиться со спикерами и программой конференции.

Артем Пузанков, DevSecOps Cluster Lead в МТС Digital, расскажет, что такое ASPM (Application Security Posture Management) идеологически. Рассмотрит систему с двух сторон: пользователя — аппсека и разработчика ASPM. Обсудим, почему вызов из пайплайна GitLab — это не оркестратор, дашборды бесполезны, если нет функциональности, и многое другое.

Вместе с Андреем Карповым, сооснователем PVS-Studio, поговорим о статическом анализаторе кода, синтетических тестах, а также о ложных ожиданиях при разработке и использовании статических анализаторов кода.

Павел Филонов, эксперт по Data Science и ML, расскажет, как фреймворк ATLAS помогает разработчикам обеспечивать безопасность ML-based решений. Рассмотрим конкретные примеры уязвимостей из избранных элементов ATLAS-матрицы — в том числе кейс, к добавлению которого спикер приложил свои усилия.

От Александра Трифанова узнаем, как в Avito удалось собрать воедино маршрутизацию nginx, Envoy, API gateways и микросервисов. Как научились строить дерево роутинга для всего API с покрытием более 95%, реализовали обнаружение небезопасных конфигураций API и научились предоставлять данные по API для динамических сканеров безопасности, и какие результаты это принесло.

Подробнее об этих и других выступлениях — на сайте конференции.

Купить билет на SafeCode 2024.

#доклады

Про уязвимости и защиту мультимодальных LLM

В программе SafeCode появляется все больше докладов. Продолжаем о них рассказывать.

Евгений Кокуйкин разрабатывает инновационные решения на базе LLM в Raft и рассказывает об этом в своем Telegram-канале. На конференции вместе с Евгением обсудим применение LLM в корпоративной среде, риски безопасности и противодействие скрытым атакам.

Подробности и билеты — на сайте SafeCode.

#доклады

Апдейт: половина программы собрана

До SafeCode 2024 около месяца — он впервые пройдет 13 и 14 марта онлайн. Практико-применимые доклады продолжают появляться в программе, и она уже наполовину собрана. Рассказываем о некоторых «новинках» в дайджесте.

#анонсы

Основная программа SafeCode 2024 готова 🔥

13 и 14 марта вместе со спикерами из СберМаркета, Kaspersky, Яндекса, Авито, VK Tech и других компаний соберемся онлайн, чтобы обсудить вопросы безопасности приложений. 

Вас ждут доклады на тему DevSecOps, аналитики и ML. Также затронем инструменты безопасной разработки и командное взаимодействие при устранении уязвимостей. И, конечно, будем разбирать кейсы из практики.

И это еще не все: в программу добавятся активности от Программного комитета, доклады от партнеров и многое другое. 

Мы будем обновлять расписание на сайте SafeCode и рассказывать вам об этом!

Купить билет на SafeCode 2024.

#подкаст

Новый выпуск подкаста [SafeCode Live] — о безопасности современных веб-приложений

Подкаст [SafeCode Live] возвращает вещание! В этот раз позвали трех людей, знающих, что такое Application Security не понаслышке. 

Ведущий Алексей Федулаев, DevSecOps Team Lead в Wildberries, и гости выпуска — Виктор Бобыльков, CISO в MTS Web Services, Алексей Морозов, руководитель Application Security в Samokat.tech и Александра Сватикова, системный архитектор команды Identity and Access Management в Yandex Cloud — обсуждают:
— что из себя представляет современное веб-приложение и как обеспечивается его безопасность;
— чем занимаются AppSec-инженеры и чем они отличаются от пентестеров;
— и многое другое.

Слушайте подкаст также на:
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте

#анонсы

Стартуем через 2 недели! 

Конференция по безопасности приложений SafeCode 2024 стартует через 2 недели и будет идти 13–14 марта онлайн. 

В разделе «Практика» собрали 6 докладов, из которых вы почерпнете идеи о том, как повысить защищенность своего сервиса или приложения уже сейчас. Оцените их:

— «Секреты в безопасности: предотвращение утечек и компрометаций в большой компании», Ольга Рачич (Kaspersky);
— «Уязвимости бизнес-логики, которые могут стоить вам миллионы», Азиз Азимов (Яндекс);
— «Проектируем безопасный сервис аутентификации», Александр Савин (Wildberries);
— «Как защитить ядро. Поговорим о безопасном коде на kernel space», Анна Мелехова (Kaspersky);
— «Ответственное использование авторизационных токенов», Кирилл Мухов (VK Tech);
— «Анализ поверхности атаки приложений и программных систем», Павел Довгалюк (ИСП РАН).

Участвуйте откуда угодно, смотрите видео в 4K, задавайте вопросы спикерам и общайтесь с коллегами в чате конференции.

Переходите на сайт SafeCode 2024 за билетами и подробностями. 

Увидимся на конференции!

#анонсы

Бесплатный день, чтобы познакомиться с конференцией SafeCode 2024!

На SafeCode 2024 будет Community Day — то есть бесплатный доступ к части докладов второго дня. Он пройдет 14 марта. Это хороший способ бесплатно ознакомиться с докладами конференции.

Мы смогли организовать этот бесплатный доступ для вас благодаря поддержке компании K2 Кибербезопасность.

Она стала партнером Community Day на SafeCode 2024. K2 Кибербезопасность на заказ проектирует ИБ-системы и концепции защиты, реализует их и сопровождает.

В этот день будут доклады о практиках DevSecOps, разработке собственных безопасных решений и не только.

Например, о том, эффективен ли WAF (web application firewall) для защиты веб-приложений и можно ли ее реализовать другими средствами. 

Для участия достаточно зарегистрироваться до 14 марта включительно.

Все удобства онлайна подразумеваются: удобный плеер, дискуссии со спикерами после докладов и чат с коллегами. 

Подключайтесь откуда угодно!
Увидимся на Community Day SafeCode 2024!

#доклады

КиберДед знает, поэтому мы и пригласили его на SafeCode 2024!

Заглядывайте на интервью с Андреем Масаловичем — обсудим, как использовать OSINT для поиска уязвимостей и атак на компании, а также как этому противостоять.

Подробнее — на сайте.

Купить билет на SafeCode 2024

#анонсы

До SafeCode 2024 осталась неделя! В этом посте суммируем информацию и выкладываем козыри приводим последние аргументы в пользу участия.

Конференция пройдет 13-14 марта

2 онлайн-дня. 32 спикера. 22 доклада. 5 обсуждений.
Программный комитет конференции работал днями и ночами, чтобы сделать программу по-настоящему полезной и интересной. Рекомендуем обратить внимание на эти доклады:

— «Как защитить ядро. Поговорим о безопасном коде на kernel space» (Анна Мелехова, Kaspersky);
— «Страх и ненависть в мобильных приложениях: какие уязвимости актуальны до сих пор и как их найти?» (Юрий Шабалин, Стингрей Технолоджиз);
— «Безопасность контейнерных сред. Как мы встали на путь разработки собственного решения и что из этого получилось» (Игорь Вербицкий и Александр Рахманный, Lamoda Tech);
— «Как аппсеки в Авито API собирали» (Александр Трифанов, Авито);
— «Ошибки в коде: ожидания и реальность» (Андрей Карпов, PVS-Studio).

Вас также ждут включения из Главной студии конференции:
— Круглый стол на тему секчемпов;
— Обсуждение болей разработки по отношению к ИБ;
— Круглый стол «Как устроена безопасность в технологически зрелой компании»;
— Круглый стол «Как разработке отбиться от очередного ИБ отчета»;
— Интервью с КиберДедом.

В дополнение ко всему этому вас ждут и другие плюшки: дискуссии после докладов, удобный плеер, трансляция в 4К и общение с коллегами из других компаний.

Переходите на сайт SafeCode за подробностями.

Билеты также ждут вас на сайте конференции.

#анонсы

Как использовать AppSec-решения в работе? Показываем на Community Day

Вы наверняка слышали о ВДНХ, выставке достижений народного хозяйства в Москве. 14 марта, в Community Day, на SafeCode будет что-то подобное. Конечно, не в масштабах московского ВДНХ, а в одноименном треке конференции.

Мы дополним теорию практикой — покажем, как в реальности работают AppSec-решения от ведущих отечественных компаний-разработчиков. Это будут короткие видеоролики, в которых вы узнаете, как применять статический анализатор, разворачивать WAF, настраивать защиту контейнеров и использовать другое полезное ПО в своей работе.

Подключайтесь к трансляции 14 марта в 12:00 на сайте SafeCode.

Если еще не успели зарегистрироваться на Community Day, то сейчас самое время это сделать.

До встречи на конференции!

#анонсы

На прошлой неделе мы упоминали в посте включения из Главной студии, которые будут ждать вас в ходе конференции. Сегодня рассказываем о них чуть подробнее:

— Круглый стол «СекЧемпы: показатель зрелости или бедности». Зачастую инициативы лучших практик продвигаются как аксиома — в том числе назначение СекЧемпов. Попробуем разобраться, есть ли реальная польза от security-чемпионов или это все инфоцыганство.

— Обсуждение «Боли и запросы разработки». Заказчик требует расширять функциональность все быстрее? Любые замедления расцениваются как помеха, даже если речь о необходимом уровне безопасности? Обсудим, что нужно учитывать, чтобы вопросы ИБ не мешали, а помогали делать хороший продукт.

— Круглый стол «Как устроена безопасность в технологически зрелой компании». Чем отличается безопасность в технологически развитой компании? Чем в целом отличается ИТ-ландшафт в такой компании? Работает ли закон Парето? Об этом и многом другом поговорим за круглым столом.

— Круглый стол «Как разработке отбиться от очередного ИБ отчета». Эксперты из AppSec и разработчики поищут общий язык: будем обсуждать, как оптимальнее отрабатывать запросы от ИБ, как предоставлятьть информацию так, чтобы сэкономить время, и какие аргументы сделают обсуждения эффективнее.

— Интервью «КиберДед знает: взгляд из прошлого». Поспрашиваем Андрея Масаловича, как использовать OSINT-инструменты для поиска уязвимостей, возможно ли применять их в атаках на компании и можно ли этому противостоять.

Конференция стартует уже завтра — если вы откладывали покупку билета на последний момент, он настал.

Увидимся в эфире!

Билеты на SafeCode 2024

Привет!

SafeCode 2024 начнется уже через час. Устраивайтесь поудобнее и подключайтесь.

Здесь вы найдете расписание, которое поможет вам сориентироваться в программе и ничего не пропустить.

Увидимся в эфире!

Методы защиты приложений, безопасность ML-моделей и построение DevSecOps с нуля — в докладах от партнеров SafeCode 2024.

Заглядывайте в дайджест за подробностями.

Привет!

Второй день SafeCode 2024 начинается через час. Ждем вас!

Пользуйтесь расписанием — оно поможет не пропустить ничего интересного.

Партнер Community Day — К2 Кибербезопасность. 

В 11:45 МСК их спикер Аскар Добряков, ведущий эксперт направления защиты бизнес-приложений, выступит с докладом «WAF — необходимое звено в защите веб-приложений или навязанная коробка? Взгляд интегратора».

Обсудим функции защиты, которые возлагают на web application firewall, ее реализацию другими средствами и типовые схемы защиты мобильных и веб-приложений в различных организациях.

До встречи!

О практиках DevSecOps и работе с API — в докладах от партнеров SafeCode 2024

13:00

Выстраиваем DevSecOps по ГОСТу с нуля и улучшаем существующие DevOps-процессы вместе с Виталием Астраханцевым, владельцем продукта в команде СберТеха.

13:30

Как собрать воедино маршрутизацию nginx, Envoy, API gateways и микросервисов и получить инструмент для управления ассетами API?

Узнаем из доклада Александра Трифанова, ведущего инженера AvitoTech.

SafeCode 2024 подошел к концу 

Записи докладов уже доступны участникам на сайте.

Спасибо, что были с нами! До скорых встреч!

#подкаст

По следам обсуждения на конференции…

Продолжаем выяснять, как отбиться от ИБ-отчета — в новом выпуске [SafeCode Live].

На SafeCode 2024 мы уже поговорили, что делать разработчикам, когда к ним «постучались» — и как специалистам по безопасности «стучаться» правильно. 

В подкасте более развернуто отвечаем на вопросы:
— какие аргументы использовать обеим сторонам, чтобы найти компромисс?
— как избежать незапланированных изменений и непонятных задач в духе «исправить сейчас же»?
— у кого должен быть рубильник, который останавливает релиз?

В студии снова встретились:
— Дмитрий Шмойлов — руководитель AppSec-подразделения в Kaspersky.
— Алексей Смирнов — основатель платформы композиционного анализа CodeScoring, организатор трека и конференции Code Mining в сообществе ODS․ai. 
— Андрей Дмитриев — директор департамента производства в JUG Ru Group. 

Выпуск уже на YouTube. 

Слушайте подкаст на других платформах:
— Apple Podcasts;
— Яндекс Музыка;
— ВКонтакте;

#опрос

Привет!

На связи Программный комитет конференции I'ML.

Мы — группа единомышленников, которая работает над наполнением конференеции. Мы придумали идею программы I'ML, собрали и обработали много заявок, а часть из них уже утвердили.

Одна из наших целей — максимально попасть в ожидания и потребности комьюнити. И здесь нам нужна ваша помощь.

Пожалуйста, пройдите небольшой опрос о докладах I'ML 2024. В нем нужно оценить приведенные материалы на предмет пользы и актуальности с точки зрения практикующего специалиста.

Ваше мнение поможет сделать конференцию лучше, и поэтому оно очень важно для нас.

Перейти к опросу

Вы могли заметить, что в наших постах есть хэштеги. Мы ввели их для удобной навигации, чтобы в каналах и чатах было проще ориентироваться. Вот что они означают:

#видеозаписи — видео с прошлых сезонов.
#доклады — о докладах: например, их анонсы.
#программа — обзор программы конференции.
#анонсы — общие анонсы конференций с основной информацией: дата, место, формат, время и т.п.