Помню 100500 лет назад (ну ладно, всего 12), я писал на Хабре, что мне не хватает в России хардкорной C++ конференции. Затем появилась C++Russia. Навизуализировал.
Пару лет назад я начал грустить, что нет подходящей конференции на тему безопасности. Статью на эту тему я не писал, но желание исполнилось и даже побыстрее, чем с C++. Хочу познакомить вас с конференцией SafeCode.
Вообще конференций и других мероприятий на тему безопасности много. В некоторых мы участвовали. Но "это не те дроиды", которых я и, думаю, многие разработчики искали. Мероприятия какие-то тематически размытые и зачастую аппаратно-ориентированные. Например, распознавание номера автомобиля для открытия ворот гаража, это тоже про безопасность. И программное обеспечение там есть. Но это не та безопасность и не тот тип ПО, которое мне интересно изучать и обсуждать.
Самое близкое для меня — Positive Hack Days, проводимые компанией Positive Technologies. Но опять не совсем то. Ориентация на слишком широкую для меня аудиторию.
А что я хотел? Меня интересовали темы безопасности в плане написания качественного кода, выявления критических ошибок, инструментария. Там, где будет много таких слов как "анализ кода", "стандарты кодирования", "РБПО", "CWE", "MISRA" и т.д.
И вот наконец, она появилась — SafeCode.
SafeCode — конференция о современных практиках AppSec для разработчиков. Здесь действующие специалисты делятся инструментами и практикой безопасной разработки.
Конференция будет проводиться уже второй раз (30 октября). Я принял участие в первой (с докладом "Ошибки в коде: ожидания и реальность") и после этого окончательно убедился, что она пришлась мне по душе. К сожалению, она пока проходит только в online-формате, но надеюсь, перерастёт в offline.
Как определил, что эта та самая конференция? Очень просто — я посмотрел записи 90% докладов. Что там было мне интересного? Многое, например, обзорные доклады про инструменты:
- Павел Довгалюк — Исследование поверхности атаки приложений с помощью Natch;
- Александр Борисенко — Боремся с уязвимостями в коде приложений: комплексный подход на примере Solar appScreener;
- Алексей Смирнов — Проверка open source: защита цепочки поставок и эффективный композиционный анализ;
- Дмитрий Журихин — Статический анализатор Svace: основные возможности.
Интересно с обзорной точки зрения: как и что у других, а ещё сам формат презентаций заинтересовал. В этот раз мы отправили на SafeCode аналогичное демо про PVS-Studio.
Из классических докладов, например, понравился: Павел Довгалюк — Анализ поверхности атаки приложений и программных систем. Плюс "картиночка с Хабра" (на 22:17) улыбнула :)
Перечислять дальше не буду. Возможно, уже заинтересовал темами. Отдельно остановлюсь только на докладе Евгения Кокуйкина (@artmaro) — Анализ атак на LLM, техники промпт-инъекций и защиты от них.
Он просто стал для меня откровением на тему новых вызовов безопасности, которые ставят перед нами системы на базе LLM. Открыт новый ящик Пандоры. Кажется, чтобы со всем этим совладать, количество рабочих мест в IT не уменьшится, а увеличится :) Появятся новые профессии :)
Ладно, юмор юмором, а тема интересная и важная. Доклад очень хороший, рекомендую посмотреть. Кстати, Евгения можно будет вскоре найти и пообщаться на конференции Yappi Days в Ярославле 23 октября. И вообще там много будет на тему LLM. Мы туда тоже поедем со стендом, давно в Ярославле не были.
На этом прощаюсь. Надеюсь, всё это кого-то заинтересует, как и меня. Спасибо за внимание.
P.S. Заглядывайте в наш каталог мероприятий для программистов.
SergVasiliev
На PHD есть трек Secure Development — собственно, про безопасную разработку: SAST, SCA, DevSecOps и вот это всё. :)