🔴 Вендоры и регуляторы обсудили новейшие практики безопасной разработки ПО 19 ноября в «Кибердоме» прошел День безопасной разработки ПО, организатором которого выступила АРПП при поддержке Positive Technologies. Мероприятие объединило регуляторов, разработчиков, специалистов по информационной безопасности, представителей ИЦК и ЦКР. ▪️Исполнительный директор АРПП «Отечественный софт» Ренат Лашин в своем приветствии отметил рост интереса заказчиков и регуляторов к теме РБПО и напомнил о меморандуме АРПП и ИСП РАН, благодаря которому члены Ассоциации могут на льготных условиях использовать инструменты безопасной разработки института. Модераторами конференции выступили Роман Карпов, руководитель ИБ-комитета АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK, и Сергей Трошкин, руководитель направления сертификации Positive Technologies. 🔻Центральной темой Дня РБПО стало изменение сертификации безопасной разработки и внедрение новых подходов для защиты решений. 🔘 Ирина Гефнер, заместитель начальника 2-го управления ФСТЭК России, рассказала о планах модернизации нормативной базы и подготовки методических документов по сертификации СЗИ. Приоритетной задачей эксперт назвала запуск облачной платформы, обеспечивающей доступ к инструментам для разработки защищенного ПО как сервиса. 🔘 Вартан Падарян, руководитель органа по сертификации ИСП РАН, подчеркнул, что качественная сертификация невозможна без участия квалифицированных специалистов, автоматизации и регулярного мониторинга процессов. Важным аспектом остается проверка стороннего ПО. 🔘 Дмитрий Пономарев, заместитель генерального директора НТЦ «Фобос-НТ», сотрудник ИСП РАН, рассказал о развитии сообщества РБПО Центра компетенций ФСТЭК России и ИСП РАН. Задача объединения - популяризация системного инженерного подхода при создании безопасных и качественных решений, а также поддержка российских технологий. Эксперты компаний-членов АРПП представили реальные кейсы внедрения РБПО и прикладные инструменты для создания защищённого ПО: ♦️Роман Карпов, руководитель ИБ-комитета АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK, объяснил, как от безопасной разработки платформы Java перейти к безопасной разработке Java-приложений. ♦️Николай Шаплов, ведущий инженер-разработчик Postgres Professional, продемонстрировал результаты фаззинга PostgreSQL. ♦️Владимир Тележников, директор департамента анализа безопасности ГК «Астра», поделился этапами процесса разработки защищенных ОС на базе Linux. ♦️Алексей Щербаков, начальник центра кибербезопасности платформы «Сбертех», и Станислав Корчевский, начальник отдела архитектуры кибербезопасности продуктов «Сбертех», обсудили практические аспекты снижения поверхности атаки. ♦️Александр Насонов, руководитель отдела безопасной разработки ГК InfoWatch, презентовал кейс аудита уязвимостей 3rdparty данных. ♦️Алексей Бегаев, основатель АО «ИНСЕК», рассказал о возможностях безопасной разработки без кардинальных изменений в инфраструктуре. ♦️Татьяна Куцовол, ведущий аналитик-исследователь ИБ департамента appScreener ГК «Солар», продемонстрировала решение сложных задач композиционного анализа через исследование зависимостей. Впервые на конференции специалисты рассмотрели методы РБПО для нестандартных информационных систем: 🔸Светлана Газизова, руководитель направления построения процесса безопасной разработки Positive Technologies, говорила о безопасности ИИ и роли DevSecOps в этом процессе. 🔸Олег Карпицкий, глава комитета по развитию экосистемы российских мобильных продуктов АРПП «Отечественный софт», генеральный директор «НТЦ ИТ РОСА», обозначил особенности безопасной разработки для мобильных платформ. 🔸Алексей Смирнов, основатель CodeScoring, раскрыл важность стандартизации работы со сторонними компонентами при разработке ПО. 🔸Дмитрий Шмойлов, руководитель подразделения безопасного ПО «Лаборатория Касперского», предложил подходы к внедрению РБПО с использованием DevSecOps и MLSecOps. 🖥 АРПП «Отечественный софт» | Подписаться