26 марта 2021 в 11:00
DevSecOps ЧАСТЬ 2:
АНАЛИЗ ИСХОДНОГО КОДА
АНАЛИЗ ИСХОДНОГО КОДА
ПАРТНЕРЫ
О КОНФЕРЕНЦИИ
На конференции расскажем о методах анализа безопасности исходного кода. Поговорим о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде, которые впоследствии могут быть использованы злоумышленниками.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
Обсудим с экспертами, какие анализаторы исходного кода существуют, чем динамический анализ отличается от статического. Какие угрозы исходят от открытого программного обеспечения (open source) и как его необходимо проверять. И, наконец, как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике.
КЛЮЧЕВЫЕ ВОПРОСЫ
Рынок анализаторов безопасности исходного кода
- Зачем проверять исходный код на безопасность?
- Почему недостаточно проводить аудит безопасности готового ПО?
- Чем SAST отличается от DAST и кто из них лучше?
- Как безопасно использовать открытое программное обеспечение (open source)?
- Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
- Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?
Технические особенности анализаторов безопасности исходного кода
- Откуда брать базы уязвимостей?
- Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка != уязвимость)
- На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
- Какие языки программирования поддерживаются сканерами?
- Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
- Как проводить анализ, если подрядчик не раскрывает исходный код?
Внедрений анализаторов безопасности исходного кода
- Как убедить разработчиков править свой код?
- Можно ли использовать готовые наборы правил из коробки?
- Насколько необходимо настраивать анализаторы под свою специфику разработки?
- Какая необходима интеграция анализаторов кода с другими системами?
Тренды и прогнозы развития рынка
- Что ожидает рынок в перспективе 2-3 года?
- Как новые подходы к разработке повлияют на этот рынок?
- Будут ли SAST и DAST все больше доступны в виде сервиса из облака?
МОДЕРАТОР
Андрей Бешков
Модератор
Руководитель направления развития бизнеса
Softline
Softline
СПИКЕРЫ
Анна Архипова
Ведущий менеджер по развитию продуктовых решений
ITD Group
ITD Group
Дарья Орешкина
Директор по развитию бизнеса
Web Control
Web Control
Сергей Деев
Менеджер продукта Solar appScreener
«Ростелеком-Солар»
«Ростелеком-Солар»
Алексей Жуков
Эксперт отдела систем защиты приложений
Positive Technologies
Positive Technologies
Валерий Куваев
Архитектор решений Fortify в регионе ЕМЕА
Micro Focus
Micro Focus
Артём Синицын
Старший руководитель программ ИБ в Центральной и Восточной Европе
Microsoft
Microsoft
