Привет! На связи JUG Ru Group. Хотим рассказать, что такое SafeCode и зачем мы тут собрались.
Мы проводим мероприятия по безопасности приложений: собираемся на онлайн-митапы и выпускаем подкаст [SafeCode Live]. Обсуждаем инструменты и процессы, анализ уязвимостей и построение защиты, стандарты и политики, и всё, что касается безопасности приложений.
Подробнее о мероприятиях и о наших дальнейших планах будем рассказывать в следующих постах здесь, а также в Telegram-чате, группе ВКонтакте и X (бывший Twitter).
Сейчас мы готовим анонс новой конференции SafeCode 2024. Присоединяйтесь к удобным площадкам и следите за новостями!
Мы проводим мероприятия по безопасности приложений: собираемся на онлайн-митапы и выпускаем подкаст [SafeCode Live]. Обсуждаем инструменты и процессы, анализ уязвимостей и построение защиты, стандарты и политики, и всё, что касается безопасности приложений.
Подробнее о мероприятиях и о наших дальнейших планах будем рассказывать в следующих постах здесь, а также в Telegram-чате, группе ВКонтакте и X (бывший Twitter).
Сейчас мы готовим анонс новой конференции SafeCode 2024. Присоединяйтесь к удобным площадкам и следите за новостями!
#анонс
Рассказываем о новой конференции и приглашаем вас выступить
JUG Ru Group запускает новую конференцию SafeCode 2024. Будем обсуждать инструменты и процессы, анализ уязвимостей и построение защиты, стандарты и политики, и всё, что касается безопасности приложений.
Она пройдет 13 и 14 марта 2024 года в онлайне. Соберем тех, кто так или иначе связан с безопасностью разработки: экспертов и аналитиков по ИБ, security-чемпионов, тестировщиков, пентестеров, разработчиков, хакеров, системных администраторов, DevOps- и SRE-инженеров.
Приглашаем вас войти в число первых спикеров и поделиться интересными рабочими кейсами. Формат выступления выбирайте сами: доклад, воркшоп, интервью или предлагайте свой.
Как подать заявку
— Выбирайте интересующую вас тему из списка на сайте SafeCode. Если хотите рассказать о чем-то другом — предлагайте любые идеи.
— Подавайте заявку на сайте SafeCode. Мы рассмотрим ее и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
От идеи до выступления
— Мы поддержим вас на всех этапах: назначим персонального куратора, поревьюим материал, поможем с доработкой, проведем репетиции и дадим рекомендации по выступлению.
— Вы расскажете о своих проектах и обменяетесь опытом и контактами с экспертами отрасли. Получите запись выступления в 4K и бесплатный билет на все конференции весны 2024.
Любые вопросы о SafeCode задавайте координатору конференции Екатерине Абросимовой: ekaterina.abrosimova@jugru.org
Ждем ваших заявок!
Рассказываем о новой конференции и приглашаем вас выступить
JUG Ru Group запускает новую конференцию SafeCode 2024. Будем обсуждать инструменты и процессы, анализ уязвимостей и построение защиты, стандарты и политики, и всё, что касается безопасности приложений.
Она пройдет 13 и 14 марта 2024 года в онлайне. Соберем тех, кто так или иначе связан с безопасностью разработки: экспертов и аналитиков по ИБ, security-чемпионов, тестировщиков, пентестеров, разработчиков, хакеров, системных администраторов, DevOps- и SRE-инженеров.
Приглашаем вас войти в число первых спикеров и поделиться интересными рабочими кейсами. Формат выступления выбирайте сами: доклад, воркшоп, интервью или предлагайте свой.
Как подать заявку
— Выбирайте интересующую вас тему из списка на сайте SafeCode. Если хотите рассказать о чем-то другом — предлагайте любые идеи.
— Подавайте заявку на сайте SafeCode. Мы рассмотрим ее и в течение нескольких дней свяжемся с вами, чтобы обсудить все подробности.
От идеи до выступления
— Мы поддержим вас на всех этапах: назначим персонального куратора, поревьюим материал, поможем с доработкой, проведем репетиции и дадим рекомендации по выступлению.
— Вы расскажете о своих проектах и обменяетесь опытом и контактами с экспертами отрасли. Получите запись выступления в 4K и бесплатный билет на все конференции весны 2024.
Любые вопросы о SafeCode задавайте координатору конференции Екатерине Абросимовой: ekaterina.abrosimova@jugru.org
Ждем ваших заявок!
#подкаст
Новый выпуск подкаста [SafeCode Live] — о применении ML в задачах классического AppSec.
В прошлых выпусках успели поговорить про:
— инженерные практики, которые помогают сделать ваше решение безопасным;
— спортивное состязание хакеров — Capture the Flag (CTF) — и поиск уязвимостей в своих решениях;
— роли, связанные с безопасностью;
— безопасность мобильных приложений.
В этот раз говорим про ML в AppSec. Будет интересно ML-инженерам, дата-сайентистам, менеджерам проектов и продуктов.
В AppSec ряд задач нельзя решить с помощью алгоритмов. В таких случаях на помощь приходит ML.
Гости выпуска обсуждают:
— кейсы использования AI: от оптимизации SQL-запросов и UI-дизайна до создания плагинов и применения LLM в разработке;
— риски обучения на уязвимом коде;
— естественный язык в Snowflake;
— SecDev (решение задач безопасности) vs DevSec (контроль разработанного).
— и «горячую» тему замены ИБ-специалиста ML-решением.
Гости:
— Радда Юрьева, ML-инженер команды AppSec в Positive Technologies.
— Александр Халиков, специалист группы исследований безопасности приложений в Positive Technologies.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies.
Ведущий:
— Андрей Дмитриев, член Программного комитета конференции SafeCode.
Выпуск уже на YouTube-канале. Подписывайтесь, чтобы не пропустить новые!
Новый выпуск подкаста [SafeCode Live] — о применении ML в задачах классического AppSec.
В прошлых выпусках успели поговорить про:
— инженерные практики, которые помогают сделать ваше решение безопасным;
— спортивное состязание хакеров — Capture the Flag (CTF) — и поиск уязвимостей в своих решениях;
— роли, связанные с безопасностью;
— безопасность мобильных приложений.
В этот раз говорим про ML в AppSec. Будет интересно ML-инженерам, дата-сайентистам, менеджерам проектов и продуктов.
В AppSec ряд задач нельзя решить с помощью алгоритмов. В таких случаях на помощь приходит ML.
Гости выпуска обсуждают:
— кейсы использования AI: от оптимизации SQL-запросов и UI-дизайна до создания плагинов и применения LLM в разработке;
— риски обучения на уязвимом коде;
— естественный язык в Snowflake;
— SecDev (решение задач безопасности) vs DevSec (контроль разработанного).
— и «горячую» тему замены ИБ-специалиста ML-решением.
Гости:
— Радда Юрьева, ML-инженер команды AppSec в Positive Technologies.
— Александр Халиков, специалист группы исследований безопасности приложений в Positive Technologies.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies.
Ведущий:
— Андрей Дмитриев, член Программного комитета конференции SafeCode.
Выпуск уже на YouTube-канале. Подписывайтесь, чтобы не пропустить новые!
#подкаст
Новый выпуск подкаста [SafeCode Live] — Secure by design
Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что такое Secure by design и нужен ли он в каждом продукте;
— чем SBD отличается от безопасной разработки;
— что делать, если «уже сделано небезопасно»;
— может ли SBD-продукт стать небезопасным;
— как стать компетентным в SBD;
— существуют ли общие концепции и стандарты SBD.
Гости:
— Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
— Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
— Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
Новый выпуск и предыдущие доступны на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
Подписывайтесь на удобные платформы, чтобы не пропустить новые выпуски!
Новый выпуск подкаста [SafeCode Live] — Secure by design
Разбираемся в подходе Secure by design (SBD), или конструктивной безопасности в разработке продукта.
Участники обсуждают:
— что такое Secure by design и нужен ли он в каждом продукте;
— чем SBD отличается от безопасной разработки;
— что делать, если «уже сделано небезопасно»;
— может ли SBD-продукт стать небезопасным;
— как стать компетентным в SBD;
— существуют ли общие концепции и стандарты SBD.
Гости:
— Сергей Рогачев, руководитель отдела разработки безопасной платформы в Лаборатории Касперского.
— Екатерина Рудина, аналитик в Лаборатории Касперского. Работает в департаменте перспективных технологий в области исследования угроз, моделирования и оценки рисков.
— Александр Поломодов, руководитель управления разработки цифровых экосистем в Тинькофф.
Ведущий:
Алексей Федулаев, руководитель направления автоматизации безопасной разработки в Wildberries.
Новый выпуск и предыдущие доступны на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
Подписывайтесь на удобные платформы, чтобы не пропустить новые выпуски!
Бесплатный онлайн-митап SafeCode «Обзорная прогулка по инструментам AppSec — 30 ноября в 18:00 МСК, GMT+3
В рамках конференции SafeCode проходят регулярные митапы по безопасности приложений. В апреле мы обсуждали внедрение процессов безопасной разработки и дополнительные стандарты безопасности OAuth2. Запись митапа доступна на YouTube.
В этот раз будем обсуждать инструменты в AppSec. Присоединяйтесь!
В программе:
— Доклад «Краткий обзор основных инструментов DevSecOps»
Игорь Гребенец, лидер направления безопасной разработки в MTC RED, пройдется по основным классам инструментов. Разберемся, как они работают и для чего нужны.
— Круглый стол «Верной дорогой идете, товарищи! Или как будет развиваться безопасная разработка»
Обсудим:
— проблемы кадров и перестроение рынка: прокачка разработчиков и тестировщиков в AppSeс, демпинг рынка DevSecOps;
— инструменты: API discovery, RASP, IAST, мультипродукты;
— проблемы ML: модели в безопасной разработке;
— приоритет контейнерной безопасности: сдвиг подхода в сторону «защиты» Kubernetes;
— соответствие требованиям регулятора: почему он наш друг в AppSec, и как подходы к созданию стандартов помогают «услышать боль» друг друга.
Участники:
— Cветлана Газизова, руководитель направления аудита безопасной разработки в Swordfish Security.
— Игорь Гребенец, лидер направления безопасной разработки в МТС RED.
— Дмитрий Евдокимов, основатель и CTO Luntry.
Ведущая митапа: Светлана Газизова.
Задавайте вопросы спикеру в чате трансляции и участвуйте в дискуссии круглого стола! Участие бесплатное, достаточно зарегистрироваться — до 30 ноября включительно.
Ссылку на трансляцию мы пришлем вам на почту в день митапа. Подключайтесь откуда угодно!
В рамках конференции SafeCode проходят регулярные митапы по безопасности приложений. В апреле мы обсуждали внедрение процессов безопасной разработки и дополнительные стандарты безопасности OAuth2. Запись митапа доступна на YouTube.
В этот раз будем обсуждать инструменты в AppSec. Присоединяйтесь!
В программе:
— Доклад «Краткий обзор основных инструментов DevSecOps»
Игорь Гребенец, лидер направления безопасной разработки в MTC RED, пройдется по основным классам инструментов. Разберемся, как они работают и для чего нужны.
— Круглый стол «Верной дорогой идете, товарищи! Или как будет развиваться безопасная разработка»
Обсудим:
— проблемы кадров и перестроение рынка: прокачка разработчиков и тестировщиков в AppSeс, демпинг рынка DevSecOps;
— инструменты: API discovery, RASP, IAST, мультипродукты;
— проблемы ML: модели в безопасной разработке;
— приоритет контейнерной безопасности: сдвиг подхода в сторону «защиты» Kubernetes;
— соответствие требованиям регулятора: почему он наш друг в AppSec, и как подходы к созданию стандартов помогают «услышать боль» друг друга.
Участники:
— Cветлана Газизова, руководитель направления аудита безопасной разработки в Swordfish Security.
— Игорь Гребенец, лидер направления безопасной разработки в МТС RED.
— Дмитрий Евдокимов, основатель и CTO Luntry.
Ведущая митапа: Светлана Газизова.
Задавайте вопросы спикеру в чате трансляции и участвуйте в дискуссии круглого стола! Участие бесплатное, достаточно зарегистрироваться — до 30 ноября включительно.
Ссылку на трансляцию мы пришлем вам на почту в день митапа. Подключайтесь откуда угодно!
SafeCode — конференция по безопасности приложений
Бесплатный онлайн-митап SafeCode «Обзорная прогулка по инструментам AppSec — 30 ноября в 18:00 МСК, GMT+3 В рамках конференции SafeCode проходят регулярные митапы по безопасности приложений. В апреле мы обсуждали внедрение процессов безопасной разработки…
Привет!
Онлайн-митап «Обзорная прогулка по инструментам AppSec» — уже сегодня в 18:00 по Москве.
Пройдемся по основным инструментам DevSecOps и обсудим развитие безопасной разработки: от кадровых вопросов до приоритета контейнерной безопасности и «дружбы» с регулятором.
Регистрируйтесь, если еще не успели.
До встречи!
Онлайн-митап «Обзорная прогулка по инструментам AppSec» — уже сегодня в 18:00 по Москве.
Пройдемся по основным инструментам DevSecOps и обсудим развитие безопасной разработки: от кадровых вопросов до приоритета контейнерной безопасности и «дружбы» с регулятором.
Регистрируйтесь, если еще не успели.
До встречи!
#подкаст
Новый выпуск подкаста [SafeCode Live] — о принципах статического анализа кода (SAST)
Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО.
Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности.
Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.
Участники обсуждают:
— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.
Гости:
— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.
— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED.
Выпуск уже на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
Слушайте где удобно!
Новый выпуск подкаста [SafeCode Live] — о принципах статического анализа кода (SAST)
Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО.
Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности.
Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.
Участники обсуждают:
— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.
Гости:
— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.
— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.
— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.
Ведущий:
Сергей Деев, эксперт по кибербезопасности в МТС RED.
Выпуск уже на:
— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте
Слушайте где удобно!