Привет, Хабр! Меня зовут Сергей Задорожный, я автор курса «DevOps для эксплуатации и разработки» в Яндекс Практикуме. Давно работаю в области финтех-энтерпрайза в банке «Центр-инвест».
В сфере IT, тем более в DevOps, важно следить за развитием индустрии. Поэтому решил поделиться одним из источников таких знаний — самой крупной конференции по информационной безопасности PHDays. Расскажу о том, как я подавался на конференцию, с чем выступил и о чём узнал из других докладов. Приятным бонусом будет список андеграундных мест, куда стоит заскочить, если вы в Москве и вам 18+.
Подача на PHDays: почему бы и да?!
Давным-давно, когда жил в общежитии мехмата, любил почитывать SecurityLab, баловался с XSpider от Positive Technologies, nmap, cain, metasploit и прочими интересными штуками. С тех пор я не раз подумывал посетить PhDays, и свершилось: у меня был подходящий доклад и конференция на горизонте.
Где-то за неделю до закрытия приёма заявок зашёл на сайт PHDays, заполнил форму и подался. Написал кратко о себе, о чём собираюсь рассказать, и кинул ссылки на видео с докладом и презентацию. Тем более, с этим докладом я уже выступал в родном банке «Центр-инвест», «Иннополисе» и других местах.
Отправил и благополучно забыл. Но оказалось, что меня одобрили!
Пару слов про доклад
В энтерпрайзном-энтерпрайзном финтехе нельзя просто так взять и занести какую-либо технологию, и Docker — не исключение. Несмотря на популярность Кубера и контейнеризации в целом, далеко не все ещё к этому пришли. А энтерпрайз, особенно такой, как финтех, накладывает серьёзные требования к безопасности. И легендарные ДевСекОпсы есть далеко не у всех.
Если у вас нет ДевСекОпса — значит, у кого-то их два. (с) Народная мудрость
В DevOps можно прийти по-разному. Я писал бэкенды на Java/Kotlin, сейчас занимаюсь DevOps, DevRel, техлидствую и выступаю с докладами.
При этом надо как-то заносить практики DevOps и у себя, а не только рассказывать на конференциях. Правда?
Встречаются два DevOps-евангелиста.
Первый: Знаешь, как занести DevOps в энтерпрайз?
Второй: Конечно, могу рассказать!
Первый: Рассказать я и сам могу, а как занести? (с) Знатный боян
DevOps — это культура и практики, но нужны инструменты, которые помогают их реализовать. Любой инструмент должен быть оправдан. Ну и, разумеется, контейнеризация — это один из таких.
Казалось бы, что там Докер, взял и занёс, но не всё так просто, особенно в финтехном энтерпрайзе. Есть много требований, безопасные безопасники, регуляторы, олдскульные админы, которым просто может не понравиться всё это… Поэтому пришлось залезть в «кишки» Докера и посмотреть на него с разных сторон, чтобы обосновать пользу от применения, развеять риски и опасения.
Так и появился доклад — «Руководство БДСМ: Бравого Докер Секьюрити Мастера». Это результат реального опыта, который, надеюсь, будет полезен не только тем, кто уже внедряет практики DevSecOps, но и тем, кто собирается этим заняться и хочет примерно понять, с чего вообще начать.
Я перфекционист (когда это нужно) и перед выступлением максимально стараюсь проверить всё, что только можно, чтобы максимально снизить вероятность «эффекта презентации». А ещё у меня был слегка необычный формат: я хотел сначала провести квиз и затем перейти к докладу. Сразу появились вопросы:
Обязательно ли переделывать всю презентацию под стиль конференции?
Можно ли показывать презентацию со своего ноута?
Как обстоят дела с интернетом на площадке?
Будет ли всё по плану на трансляции?
Когда прикинул, сколько всего под вопросом, сначала расстроился, но потом сделал разных версий презентаций, шаблонов и вот такого:
PHDays 12: Бэкстейдж
PHDays 12 проходил на территории Парка Горького. Была куча народу, среди которых бросались в глаза айтишники с рюкзаками и бэйджами конференции. Встали в очередь на регистрацию.
Я думал, что спикер может быстрее получить бейдж, но в очереди были все такие: спикеры и организаторы. Пока ждали, к нам подошел Валера, мой куратор доклада. Познакомились с Вовой Кочетковым и классными ребятами из Позитива, они как раз стояли перед нами в очереди. Время за общением пролетело быстро, вот уже получили бэйджики и пошли в зал «Конструкторское бюро», на котором должен быть наш трек Development.
На экране крутилась заставка PHDays, а пол ещё защищала строительная плёнка. Обожаю бэкстейджи как на метал-концертах, так и на конференциях! Есть в них своя особенная атмосфера. Познакомился с Дмитрием Скляровым, он занимается реверс-инжинирингом. Дима рассказал много интересного про процессоры и их архитектуру. Как однажды какого-то спикера взломали через кликер и много других историй.
PHDays 12: Первый день
Встали пораньше и помчали на конференцию. Как оказалось, мы приехали рано — повсюду ещё ходили кинологи с собаками и проверяли безопасность площадок. Мы постояли под навесом кафешки, попили горячий чай. Уже было полно участников. Недалеко от нас стояли девчонки с фиолетово-розовыми волосами под стиль конфы. Фотки не сделал, зато сгенерировал нейронкой. Я подумал, что в следующий раз мне нужно тоже что-то такое, например покрасить бороду или нарисовать знак PHDays на лысине, чтобы сразу чувствовался стиль конференции. Я почему-то вспомнил про готик-фесты Wave-Gotik-Treffen.
Наконец-то всех стали запускать, и я сразу побежал на площадку!
У меня было минут 10, чтобы узнать про задумки с презентацией. Я помчался к техникам и попросил отладиться. Из-за большого количества народу возникли большие проблемы с интернетом, у некоторых провайдеров он просто закончился. В итоге интернетом со мной поделилась коллега, я проверил, что квиз и презентация запустятся. Теперь оставалось только ждать своего слота. Открыл расписание и прикинул, на какие доклады хочу сходить. Что ж, погнали!
Сначала было небольшое вступление, из которого мы узнали про маскот Positive Development Community — ч̶е̶л̶о̶в̶е̶ч̶е̶с̶к̶а̶я̶ ̶м̶н̶о̶г̶о̶н̶о̶ж̶к̶а̶ мадагаскарская руконожка (ай-ай). Прикольное и необычное животное, которое способно своим длинным пальцем выковырять любого жука из дерева — тот ещё ковырятель багов.
Доклад: Я реверсер, я так вижу
Кайфовый доклад от Дмитрия Склярова. Было интересно послушать про разработку взглядом крутого реверс-инженера. Дмитрий рассказал о проблемах в коде и почему они возникают.
Программисты далеко не всегда пишут безопасный код, зачастую бизнесу очень важна скорость разработки. Код может не учитывать все возможные ситуации, которыми воспользуются хакеры. Может быть не самого хорошего качества или же попросту скопирован из Stack Overflow. Дмитрий рассказал, к чему приводят подобные ошибки, а также истории из жизни реверсера.
А реверсер, в отличие от программиста, возьмет не 10 батонов, а 11. Потому что сначала выполнится первое утверждение: «Дорогой, сходи купи батон хлеба». А затем второе.
Доклад: 20 нестандартных применений ChatGPT в кибербезе
Артём рассказал о кейсах, в которых можно применить ChatGPT:
фаззинг директорий,
генерации поисковых дорков,
генерации данных,
анализ данных,
советы по инфобезу.
И многие другие способы применения. Отличный обзорный доклад.
Со временем нейронки станут обычным инструментом, поэтому надо уметь ими пользоваться, в том числе и в инфобезе. В целом, норм.
Доклад: Язык запросов к коду… не нужен?
Владимир и Сергей рассказали про Application Inspector — SAST-анализатор, разрабатываемый Positive Technologies. Было интересно послушать, но я попал лишь на часть доклада, поскольку был на докладе про ChatGPT. Надо будет ещё посмотреть видео.
Доклад: Как разработчики анализатора исходного кода с одной экспонентой боролись
Георгий рассказал о математике — одном из главных инструментов, на котором строится работа анализатора Application Inspector. Я поймал много флешбэков с «дискретки» и теории множеств. Было очень интересно. Сами доказательства теорем я не успел воспринять, для этого надо ещё потом отдельно пересмотреть доклад. Но сами концепции и идеи были понятны. В общем, за счёт оптимизаций, в основе которых лежат доказанные теоремы, удалось ускорить работу анализатора более чем в 2 раза.
Доклад: Безопасность цепи поставок
Очень понравилось, как Дмитрий грамотно рассказал про цепочки поставки кода и про то, где могут быть уязвимости, начиная от самого железа и сети и заканчивая опенсорс-проектами и вендорскими решениями. Подвоха надо ждать отовсюду. Получился фундаментальный доклад, который настоятельно рекомендую девсекопсам.
Доклад: DAF: путь самурая в безопасной разработке
Алина рассказала про фреймворк оценки безопасности для компаний. Будет круто, когда они его реализуют в виде инструмента. Алина очень грамотно и интересно вещала и бодро отвечала на вопросы. Доклад мне зашёл! В зале даже нашёлся мастер комплиментов, который выдал: «Спасибо за нормальный доклад!» Было кринжово, и все посмеялись. Если хотите посмотреть, куда подумать в развитии стандартов ИБ в организации, — вам сюда.
Доклад: DAF: SCAзка о SCAнерах
Виктор и Дмитрий рассказали об оценке зрелости компании со стороны инфобеза. Наверное, для меня это был топовый доклад. Очень круто, полезно и с живой подачей. Девсекопсам обязательно к просмотру.
После одного из докладов встретил Андрея Дмитриева, того самого, что с Jugru. Очень позитивный, приятный и интеллигентный чувак. Я частенько бывал на конференциях, особенно люблю конференции от Jugru. Для меня они были одними из первых крупных конференций: Joker, JPoint, DevОops, Heisenbug. Там узнавал много нового и знакомился с крутыми инженерами.
Конференции — они как метал-концерты: драйв, куча позитива и вот это всё. Только слэма нет, но есть BoF’ы, дискуссии, и там порой бывает очень жарко.
Доклад: Руководство Бравого Докер Секурити Мастера
Приближалось моё время. Мы рассовали мерч по пакетам, и я пошёл готовиться. Закинул мерч и свой красный суперплащ к техникам — договорились по деталям, когда запустить квиз и включить презу. В общем, вышло круто и весело, я получил море удовольствия. Раздал призы победителям квиза и за самые чётенькие вопросы после доклада.
На трансляции 3 минуты квиза получились без звука, но остальное прошло хорошо. Поэтому на YouTube вы найдёте две версии доклада: режиссёрскую (с квизом) и урезанную (без).
Кстати, все доклады с трека Development можно посмотреть в плейлисте на Ютубе.
PHDays 12: Второй день
Доклад: Внедрение кода в процессы из контекста ядра Linux
Интересный доклад. Илья рассказал, как он написал свой инструмент Kjector для загрузки кода в ядро Линукса. Для того чтобы это реализовать, ему пришлось изрядно поковыряться в технических «кишках». Получилась титаническая и сложная работа. Я в последнее время очень интересуюсь eBPF, а тут он написал прям своё.
KJector совсем не гуглится, если кому интересно глянуть, то вот.
Не забывайте, что конференция — не только доклады. Прежде всего конфа — это про нетворкинг, общение, обмен опытом и кучу позитива. На обеде мы пересеклись с коллегами из Ростова: фото Чуваки из «Центр-инвеста», «Спецвузавтоматики», Codeby и ВТБ
Прошёл обед — и снова на доклады.
Доклад: Антология способа программного мониторинга и защиты Linux в пользовательском пространстве
Тимур рассказал про опыт работы с eBPF и его внутренней механикой. Было интересно слушать. Как раз сейчас почитываю книжку Лизы Райс про eBPF, поэтому доклад мне зашёл.
После сходил ещё на лайтинтолки: «Практики DevSecOps» в GitOps, «Как найти Security Champions».
Оставалось немного времени до афтепати. Мы встретили Илью Пищика — классный и эпатажный чувак, который развивает сообщество инфобеза в Ростове RND Cyber Security.
PHDays 12: Афтепати
В целом душевно, пообщались с народом, поиграли в «Свою игру». Были ещё столики для обсуждения тем по интересам. Я выбрал DevOps. Там встретил чувака, который когда-то работал у нас разработчиком, — даже сразу не узнал во мне старого доброго техлида.
Очень понравилось общаться с Head of DevOps Positive Technologies Максимом Залысиным. Поговорили про выстраивание процессов, DevOps, внедрение технологий в энтерпрайз и за Джаву.
Время пронеслось мгновенно. Настала пора собираться обратно в Ростов. Мы попрощались с чуваками из Positive и запрыгнули в такси, чтобы спастись от дождя. Даже не верилось, что уже пора домой.
Бонус: что посмотреть в Москве
Посты от знатного мемолога Дантеса натолкнули на мысль посмотреть выставку «Звёздных войн» на ВДНХ. Кстати, было бы кайфово применять джедайские навыки убеждения в работе:
«Этот пятничный деплой не нужен тебе».
«Дедлайна время ещё не пришло».
«Не используй Куберентес ради Кубернетеса».
На выходе с выставки можно было купить л̶а̶м̶п̶ы̶ ̶д̶н̶е̶в̶н̶о̶г̶о̶ ̶с̶в̶е̶т̶а̶ световые мечи для ролевых игрищ.
Дальше на ВДНХ нашли артефакты интереснее — ларёк с пян-се. Когда жил на Дальнем Востоке, это был фастфуд «намбаван», вкусно и питательно. Пирожок на пару с фаршем, чесноком, капустой, перцем и кимчи. Сожрав такое, вас не спасёт весь запас жвачки на планете, а прохожие оценят пикантное [амбрэ]. 10 Гордонов Рамзи из 10.
Затем погнали в Кунсткамеру. Это не питерский музей и не Гитхаб с твоими экзотичными пет-проектами. Скелеты ежей, змей, чучела сколопендр, ящериц, пауков и других фантастических тварей — всё это можно найти в уютном магазинчике «Кунсткамера». Я впервые увидел их стенд на выставке Reptilium. Если вы тот ещё Х̶а̶г̶р̶и̶д̶ опытный кипер, энтомолог или просто любитель экзотичной живности — обязательно сходите. В этот раз купил индонезийскую осу. Она прям просто инопланетная.
Ещё в Москве есть отличный магазинчик «Синий еж», там тоже полно годноты.
Очень долго искали точку G. Пришлось достать телефон и позвонить. Вход оказался в ТЦ за «Перекрёстком». Это музей для лиц старше 18 лет. Там было позитивно, посмотрели на оригинальные работы и посетили кучу мест, где можно наделать смешных фото.
Есть трон PHP’шника, качельки DevOps, статуи, изображающие парное и не только программирование, сцены настройки Kubernetes, чёрный квадрат эффективного менеджера и много чего ещё. Завершили визит хипстерским чаем с жимолостью и пошли дальше.
Пока бродили по Москве, раза 4 натыкались на статую [раздора]. Решили взглянуть поближе. Оказалось, это разломанная глина, символизирующая раздор. Зашли внутрь и поняли, что это могло быть шикарным местом для митапов, рейв-вечеринок и всего такого: очень просторно, хтонично и монументально. Но там разбросаны небольшие локации с книгами, сувенирами и искусством «на любителя».
На следующий день отправились на Арбат за сувенирами. Хотелось чего-нибудь оригинального, а не розовую шапку-ушанку или магнитик.
Побывали в каком-то магазинчике для магов, посмотрели на амулеты, а потом зашли в «Твою полку». Это магазинчик, в котором полки арендуют художники и выставляют туда свои творения, в Ростове, кстати, тоже есть. Мне приглянулись эти ребята:
Вместо итогов
Много ещё хочется рассказать, о чём было заявлено во вступлении, но история затянулась. Да и я дописываю эти строки, когда с PHDays прошёл целый месяц (или два). Через неделю после PHDays я отправился в горы, а затем рванул на первую конференцию по БЕзопасности КОНтейнеров: БЕКОН. Она была крутая, и о ней я напишу попозже.