Привет, Хабр! В конце апреля команда CyberCamp провела митап, посвященный DevSecOps. Наше путешествие началось у острова композиционного анализа, потом мы прошли между Сциллой и Харибдой защиты контейнеров и мобильных приложений, а затем отправились исследовать другие направления DevSecOps.

В этом посте собрали полный плейлист выступлений:

Путь самурая: фреймворк безопасной разработки

Кирилл Бочкарев, архитектор инфраструктуры информационной безопасности, «Инфосистемы Джет»

В своем докладе Кирилл рассказал, как команда «Инфосистемы Джет» проводит аудиты и почему вообще важна безопасность в разработке. В докладе Кирилл представил фреймворк и объяснил, из каких компонентов состоит наша методика оценки.

Мифы и факты о цепочке поставки программного обеспечения

Алексей Смирнов, основатель CodeScoring, Profiscope

В докладе Алексей рассказал о том, что такое цепочка поставки, и про то, как обеспечить безопасность на каждом ее этапе. По словам спикера, количество известных атак на цепочки поставки за прошлый год выросло в 13 раз. По статистике, экспертами по безопасности выявляется более 500 вредоносных пакетов каждый месяц. В докладе Алексей разобрал на примерах эффективные способы защиты компонентов цепочки поставки.

Актуальные уязвимости в мобильных приложениях в 2022 году

Юрий Шабалин, генеральный директор Стингрей Технолоджиз, ведущий архитектор Swordfish

В своем докладе Юрий рассказал о распространенных заблуждениях, касающихся безопасности мобильных приложений, и о наиболее часто встречавшихся в 2022 году уязвимостях: небезопасном хранении данных, ключах от сторонних сервисов, локальной проверке пин-кода, обходе биометрической аутентификации, Flutter. Также спикер поделился, какие техники лучше применять для поиска самых критичных проблем безопасности.

Введение во взлом веб-приложений. Как создать безопасное ПО

Данил Кокорин, веб-разработчик отдела заказной разработки, «Инфосистемы Джет»

В докладе Данил рассказал о том, что из себя представляют веб-уязвимости, и об этапах создания безопасного ПО. В качестве примера Данил привел три основных уязвимости — SQL-инъекции, межсайтовый скриптинг (XSS), подделка межсайтовых запросов (CSRF) — и рассказал о способах защиты от них. Во второй части доклада спикер рассказал о том, почему важно проводить чекап и тестирование ПО на этапах создания и какими инструментами для этого можно пользоваться.

Классификация и систематизация средств безопасности для Kubernetes

Дмитрий Евдокимов, Founder&CTO, Luntry

В докладе Дмитрий рассказал об основных средствах защиты Kubernetes. По словам спикера, среди средств защиты кластеров есть как пересечения с привычными СЗИ, так и уникальные инструменты. Дмитрий рассказал, как и где в Кубере лучше реализовывать тот или иной слой безопасности, как правильно подойти к планированию защитных механизмов.

Опыт построения AppSec-процессов в крупных корпорациях

Алина Князева, руководитель направления AppSec Дзена, VK

Доклад Алины был посвящен опыту построения процесса безопасного производства в крупной корпорации. Команде необходимо было построить безопасность в компании с большим количеством продуктов и при этом найти баланс между бизнесом и информационными технологиями. Алина рассказала об опыте создания трех платформ ИБ, которые работают в режиме Self-Service для команд и продуктов под единой интеграционной шиной с возможностью анализа данных в реальном времени.

Все презентации спикеров мы собрали здесь.

По нашей традиции в рамках митапа любой желающий мог бесплатно попрактиковаться на платформе киберучений. В этот раз участникам необходимо было найти уязвимости в Open Source компонентах, нырнуть в исходный код приложения и разобраться с подозрительным потреблением ресурсов контейнера. Ребята, которые выполняли задания попали в рейтинг.

Сквозной рейтинг по итогам трех митапов можно найти здесь.

Что такое CyberCamp и как он проходил в прошлом году, смотрите здесь.

Чтобы не пропустить анонсы следующих митапов, подписывайтесь на канал CyberCamp в Телеграм.