Обычно я пишу про статический анализ, баги и оформление кода. Однако сейчас меня притянуло к тематике РБПО (разработка безопасного программного обеспечения). Это связано с тем, что статический анализ является одним из основополагающих процессов безопасной разработки.
Всё началось с цикла публикаций про ГОСТ Р 56939-2024 в моём Telegram-канале "Бестиарий программирования". Мой внимательный читатель Виталий Пиков из УЦ МАСКОМ, увидев это, пришёл и сказал: "А давай больше!" Он предложил запустить целый цикл совместных вебинаров, где последовательно разобрать все 25 процессов, описываемых в ГОСТ Р 56939-2024. И идея мне понравилась.
Соответственно, будет 25 вебинаров. Возможно, даже больше, если по накопившимся вопросам будем собирать дополнительные круглые столы. Первый вебинар мы уже провели, и можно ознакомиться с его записью.
Вебинар 01. Планирование процессов разработки безопасного программного обеспечения.
Ведущие вебинара: Андрей Карпов (ООО "ПВС", PVS-Studio), Виталий Пиков (УЦ МАСКОМ).
Гость вебинара: Виталий Вареница (ЗАО "НПО "Эшелон"), сделал вступительный доклад "История создания стандарта БРПО в России. Актуальное состояние БРПО сегодня".
Приглашаю зарегистрироваться для участия в последующих вебинарах! Непосредственное присутствие на вебинаре — это возможность задать волнующие вопросы.
Темы (они же процессы, перечисленные в пятом разделе ГОСТ Р 56939-2024), которые будут рассмотрены:
Планирование процессов разработки безопасного программного обеспечения.
Обучение сотрудников.
Формирование и предъявление требований безопасности к программному обеспечению.
Управление конфигурацией программного обеспечения.
Управление недостатками и запросами на изменение программного обеспечения.
Разработка, уточнение и анализ архитектуры программного обеспечения.
Моделирование угроз и разработка описания поверхности атаки.
Формирование и поддержание в актуальном состоянии правил кодирования.
Экспертиза исходного кода.
Статический анализ исходного кода.
Динамический анализ кода программы.
Использование безопасной системы сборки программного обеспечения.
Обеспечение безопасности сборочной среды программного обеспечения.
Управление доступом и контроль целостности кода при разработке программного обеспечения.
Обеспечение безопасности используемых секретов.
Использование инструментов композиционного анализа.
Проверка кода на предмет внедрения вредоносного программного обеспечения через цепочки поставок.
Функциональное тестирование.
Нефункциональное тестирование.
Обеспечение безопасности при выпуске готовой к эксплуатации версии программного обеспечения.
Безопасная поставка программного обеспечения пользователям.
Обеспечение поддержки программного обеспечения при эксплуатации пользователями.
Реагирование на информацию об уязвимостях.
Поиск уязвимостей в программном обеспечении при эксплуатации.
Обеспечение безопасности при выводе программного обеспечения из эксплуатации.
Вы можете стать гостем одного из вебинаров, если какая-то тема вам близка и есть что про неё рассказать. С нами можно связаться через форму обратной связи.
Дополнительные ссылки:
ГОСТ Р 71207–2024 глазами разработчика статических анализаторов кода.
AM Live. Как встроить безопасность в процесс разработки ПО: практика, ошибки, решения. И ответ на распространённый вопрос: требуются ли сертификаты ФСТЭК для инструментов разработки, применяемые в РБПО?