Главная / О компании / Новости / DevSecOps часть 2: анализ исходного кода

Новости

« Назад

DevSecOps часть 2: анализ исходного кода  24.03.2021 09:00

Дата:  26 Марта 2021 - 11:00

Место проведения:  Онлайн

Описание: 

На конференции расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками. Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.

Ключевые вопросы:

1. Рынок анализаторов безопасности исходного кода

  • Зачем проверять исходный код на безопасность?
  • Почему недостаточно проводить аудит безопасности готового ПО?
  • Чем SAST отличается от DAST и кто из них лучше?
  • Как безопасно использовать открытое программное обеспечение (open source)?
  • Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
  • Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?

2. Технические особенности анализаторов безопасности исходного кода

  • Откуда брать базы уязвимостей?
  • Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка != уязвимость)
  • На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
  • Какие языки программирования поддерживаются сканерами?
  • Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
  • Как проводить анализ, если подрядчик не раскрывает исходный код?

3. Внедрений анализаторов безопасности исходного кода

  • Как убедить разработчиков править свой код?
  • Можно ли использовать готовые наборы правил из коробки?
  • Насколько необходимо настраивать анализаторы под свою специфику разработки?
  • Какая необходима интеграция анализаторов кода с другими системами?

4. Тренды и прогнозы развития рынка

  • Что ожидает рынок в перспективе 2-3 года?
  • Как новые подходы к разработке повлияют на этот рынок?
  • Будут ли SAST и DAST все больше доступны в виде сервиса из облака?

Приглашенные эксперты:

  • Анна Архипова, ведущий менеджер по развитию продуктовых решений ITD Group
  • Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар»
  • Дарья Орешкина, директор по развитию бизнеса Web Control
  • Алексей Жуков, эксперт отдела систем защиты приложений, Positive Technologies

Модератор:

  • Андрей Бешков, руководитель направления развития бизнеса Softline

Регистрация ►