Russian
  • English
  • Korean
  • Техническая поддержка
  • Личный кабинет партнера
Positive Technologies
Russian
  • English
  • Korean
  • Решения
    Построение центра ГосСОПКА

    Комплексное решение для создания центра ГосСОПКА и взаимодействия с НКЦКИ

    Комплекс для раннего выявления сложных угроз

    Комплексное решение для раннего выявления и предотвращения целевых атак

    Безопасность объектов КИИ

    Система безопасности значимых объектов КИИ в соответствии с требованиями закона № 187-ФЗ

    PT Industrial Cybersecurity Suite

    Комплексная платформа для защиты промышленности от киберугроз

    Выполнение Указа № 250

    Выполнение требований Указа Президента РФ № 250

    Посмотреть все →
  • Продукты
    MaxPatrol 8

    Контроль защищенности и соответствия стандартам

    MaxPatrol SIEM

    Выявление инцидентов ИБ в реальном времени

    PT ISIM

    Управление инцидентами кибербезопасности АСУ ТП

    PT MultiScanner

    Многоуровневая защита от вредоносного ПО

    ПТ Ведомственный центр

    Управление инцидентами и взаимодействие с ГосСОПКА

    MaxPatrol SIEM All-in-One

    Полноценный SIEM для небольших инфраструктур

    MaxPatrol VM

    Система нового поколения для управления уязвимостями

    PT Network Attack Discovery

    Система анализа трафика (NTA) для выявления атак

    PT Application Firewall

    Защита приложений от веб-атак

    PT Application Inspector

    Анализатор защищенности приложений

    PT BlackBox

    Динамический анализатор приложений

    PT Platform 187

    Реализация основных требований 187-ФЗ для небольших инфраструктур

    XSpider

    Сканер уязвимостей

    PT Sandbox

    Первая песочница, которая защищает именно вашу инфраструктуру

    PT XDR

    Продукт класса Extended Detection and Response для выявления киберугроз и реагирования на них

    PT Threat Intelligence Feeds

    Фиды с экспертными знаниями об угрозах

    Посмотреть все →
  • Сервисы
    Непрерывный анализ защищенности бизнеса

    Услуги Positive Technologies по анализу защищенности бизнеса от киберугроз позволят непрерывно выявлять реальные векторы атак на вашу компанию и совершенствовать стратегию реагирования на инциденты

    Услуги PT Expert Security Center

    Экспертный центр безопасности Positive Technologies предоставляет услуги по обнаружению, реагированию и расследованию сложных инцидентов, а также по мониторингу защищенности корпоративных систем

    Исследование угроз и уязвимостей аппаратных решений

    Выявление аппаратных уязвимостей и закладок – один из самых сложных элементов в реализации зрелой стратегии безопасности. Эксперты Positive Technologies готовы оказать всестороннюю помощь в этом вопросе.

    Расширенная техническая поддержка

    Сделайте использование продуктов Positive Technologies еще более эффективным и приятным с расширенной технической поддержкой. Наши специалисты могут самостоятельно провести установку и настройку продуктов, оценить эффективность работы и в кратчайшие сроки разобраться с любым обращением от клиентов.

    Посмотреть все →
  • Исследования
    Аналитические статьи
    База знаний
    Словарь терминов ИБ
    Хакерские группировки
    PT ESC Threat Intelligence
    Блог
    Вебинары
    Уязвимости и угрозы
    Посмотреть все →
  • Партнеры
    Авторизованные партнеры
    Дистрибьюторы
    Технологические партнеры
    MSSP-партнеры
    Авторизованные учебные центры
    Стать партнером
    Вход в личный кабинет
    Посмотреть все →
  • О компании
    История
    Клиенты
    Долговые инструменты
    Пресс-центр
    Новости
    Мероприятия
    Вакансии
    Контакты
    Документация и материалы
    Эксперты
    Посмотреть все →
  • Инвесторам
Меню
  • Главная
  • О компании
  • Мероприятия
  • Positive Development User Group Picnic: безопасная разработка для каждого

Positive Development User Group Picnic: безопасная разработка для каждого

Прошло 10 августа 2016
Флакон ИскраБар, Москва

Глядя на холодный осенний пейзаж за окном, пожалуй, не поверишь, что еще месяц назад больше сотни разномастных разработчиков, неслучайно собравшихся в одном месте, по доброй воле устроили себе многочасовой рабочий солярий на жаркой солнечной крыше. Никто не жаловался: все пили лимонад (на горизонте маячило пиво), слушали суровые доклады про взлом приложений, их же защиту и разные полезные утилиты, задавали вопросы, общались в кулуарах. Внизу, по Большой Новодмитровской, изредка туда-сюда проезжал одинокий байкер, разбавлявший беседу о безопасной разработке музыкальными хитами девяностых. К концу вечера запахло жареным — нет, это не разработчики сцепились в споре, какой язык круче, а повар наконец выложил на решетку гриля аппетитные колбаски.

Так прошел PDUG Picnic 2016 — неформальная тусовка для разработчиков, которые на досуге всерьез задумываются о том, безопасен ли код, который они пишут.

PDUG-сообщество: от сотворения до наших дней

Первую встречу Positive Development User Group мы провели еще в мае: тогда временным домом для участников стала и без того бурлящая событиями площадка PHDays VI. За основу был взят двухдневный семинар Тимура Юнусова и Владимира Кочеткова, посвященный взлому и защите приложений, который прошел осенью 2015 года в нашем офисе. С оптимизированной программой, которая тоже была принята на ура, выступил Володя Кочетков, рассказавший о проектировании и разработке безопасных приложений, а помог ему Леша Гончаров со своими задачками по ненормальному программированию. Аудитория попалась благодарная: было много вопросов, дискуссий и даже споров, что еще раз доказывало: интерес к теме есть, причем недюжинный.

Так идея собрать вокруг темы безопасной разработки открытое сообщество обрела реальное воплощение.

PDUG Picnic успешно подхватил эстафетную палочку: 117 участников, 4 доклада, бессчетное количество вопросов, еды и пива — даже очень сухая статистика выглядит воодушевляюще. Не обошлось, правда, без вмешательства злодейки-судьбы: изначально докладов планировалось пять, но буквально за день до выступления Володя Кочетков потерял голос и смог только ответить на несколько вопросов от аудитории под занавес встречи. Тем не менее форс-мажор оказался условно безболезненным: оставшиеся спикеры получили по кусочку дополнительного времени.

Собирая коллег к 15:30, мы шли на большой риск: многим, вероятно, было не так-то просто покинуть офис прямо в середине рабочего дня. Впрочем, опасения не оправдались: на импровизированной стойке регистрации уже задолго до назначенного времени возник ажиотаж: самоотверженные организаторы едва успевали раздавать бейджи. Гости были самые разные: разработчики из банков, государственных структур, компаний, специализирующихся на создании ПО, подтянулись даже специалисты по информационной безопасности. Словом, тусовка получилась многоликая.

Что было особенно приятно, так это множество знакомых лиц, тех, с кем мы успели встретиться еще на PHDays. Хочется верить, что количество наших друзей будет только расти.

Галопом по Европам

Расписание было плотным: все успели разве что поздороваться и закусить, как уже понеслось. Рами Мулейс, менеджер по продвижению Application Inspector и по совместительству наш бессменный модератор, не только объяснил, почему «так здорово, что все мы здесь сегодня собрались», но и представил свежеиспеченный символ сообщества — мадагаскарскую руконожку ай-ай, природного специалиста по поиску уязвимостей, чья разноцветная физиономия весь день колыхалась на огромном флаге PDUG над крышей.

От слов, впрочем, быстро перешли к делу. Открывал технический марафон официальной программы условный представитель «темной стороны силы» Тимур Юнусов: рассматривая безопасность приложений с точки зрения потенциального взломщика, он рассказал о том, какие ошибки обычно допускают разработчики и как хакеры могут использовать подобные «дыры» в коде.

Впрочем, фундаментальные способы борьбы с хакерским произволом™ на пикнике все-таки были найдены — об этом позаботился Валера Боронин, который рассказал о том, что такое процесс безопасной разработки (SSDL), поведал о профитах и подводных камнях при его выстраивании (на эту тему у Валеры обзорная презентация), а также на примере статического анализа кода с помощью PT Application Inspector показал, как можно встроить элементы безопасной разработки в повседневную жизнь максимально естественным для разработчиков образом.

Проделал он это, подключившись к проекту на GitHub, обнаружив в нем уязвимости и успешно устранив их, оставаясь при этом в любимой Visual Studio. Машина сама подсказывала Валере, что она думает про его коммиты, — общаясь с ним прямо в исходниках. Это по-нашему!

Ближе к третьему докладу палящее солнце, наконец, начало снижаться, а вот технический градус — отнюдь. Анализ кода в PT AI оказался богатым на темы для обсуждения: очередь в программе дошла до Вани Кочуркина, который выступил с докладом по мотивам своей майской статьи на «Хабре» и рассказал об использовании шаблонов в процессе сигнатурного анализа кода и возможностях pattern matching.

Роль последнего спикера досталась Леше Гончарову, который под занавес встречи представил коллегам разработанную Позитивом бесплатную утилиту Approof для выявления уязвимых компонентов приложений (как находящихся на стадии разработки, так и уже работающих), ошибок конфигурации и чувствительных данных.

Кто-то, скорее всего, вспомнит, что Approof уже как-то мелькал на «Хабре». Так вот, мы не только не останавливаем его развитие, но и запустили прямо на пикнике конкурс на написание новых правил для ядра Fingerprint. Кстати, все еще есть возможность поучаствовать и выиграть фирменную PDUG-футболку: за самое необычное правило и за самое большое количество присланных правил. Специально для этого у нас создан отдельный репозиторий, если вдруг заинтересовались челленджем — присылайте свои пулл-реквесты, будем рады любым идеям.

К моменту, когда официальная часть программы подошла к концу и в ход пошли пиво и пицца, уже смеркалось. Расходиться никто не торопился — остались темы для обсуждения, осталось множество вопросов, которых, наверное, стало даже больше, чем перед началом встречи. Тем не менее очередной шаг навстречу был сделан, «стружка» с темы снята — и настало время для еще более кропотливой работы по дальнейшему развитию сообщества.

А дальше-то что?

«Мы хотим объединить разработчиков, архитекторов, аналитиков, тестировщиков, руководителей направлений и специалистов по ИБ в единое сообщество, целью которого станет повышение компетенций этих специалистов в области безопасной разработки приложений, — объяснила руководитель отдела продуктового маркетинга Positive Technologies и по совместительству "верховный организатор" мероприятия Маша Рацин. — На первых митапах выступали наши эксперты, но в дальнейшем мы обязательно будем призывать спикеров других IТ-компаний».

Планов громадье. Уже осенью собираемся замутить свежий митап, первый из множества в своем роде, и запустить серию тематических вебинаров. Кроме того, по итогам пикника мы организовали группу в Facebook, где пока потихоньку делимся материалами (например, уже доступен фотоотчет), а потом начнем кидаться анонсами будущих встреч и прочими интересными штуками. Добро пожаловать, кстати.

PDUG — это открытое сообщество, и мы стремимся создать платформу, где каждый получит возможность делиться своими наработками. Если вы сами хотите как-то продвигать тему безопасной разработки, имеете релевантный интересный опыт и в вашей рабочей копилке есть крутые кейсы, жизненные советы и всякие прочие полезности — стучитесь к нам на pdug@ptsecurity.com, обсудим возможные совместные активности. Приветствуется все: предложения по площадкам, идеи для новых крутых докладов или сами крутые доклады вместе с докладчиками (мы за пакетную обработку). Давайте разрабатывать безопасно вместе!

Материалы мероприятия

«Подходы к сигнатурному статическому анализу». Презентация И.Кочуркина

«Безопасное программирование». Презентация Т.Юнусова

Другие мероприятия

  • Прошло 24 и 25 ноября Positive Technologies на конференции HighLoad++ 2022: доклады ведущих экспертов компании, конкурс по поиску уязвимостей и безлимитная газировка
  • Прошло 15–16 ноября Эксперты Positive Technologies выступят на SOC-форуме 2022
  • Прошло 24 и 25 ноября Эксперт Positive Technologies выступит на конференции HighLoad++ 2022
Поделиться:
Ссылка скопирована
Вернуться к мероприятиям
Решения
  • Построение центра ГосСОПКА
  • Комплекс для раннего выявления сложных угроз
  • Безопасность объектов КИИ
  • PT Industrial Cybersecurity Suite
  • Выполнение Указа № 250
Продукты
  • MaxPatrol 8
  • MaxPatrol SIEM
  • PT ISIM
  • PT MultiScanner
  • ПТ Ведомственный центр
  • MaxPatrol SIEM All-in-One
  • MaxPatrol VM
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
  • PT Platform 187
  • XSpider
  • PT Sandbox
  • PT XDR
  • PT Threat Intelligence Feeds
Сервисы
  • Непрерывный анализ защищенности бизнеса
  • Услуги PT Expert Security Center
  • Исследование угроз и уязвимостей аппаратных решений
  • Расширенная техническая поддержка
Исследования
  • Аналитические статьи
  • База знаний
  • Словарь терминов ИБ
  • Хакерские группировки
  • PT ESC Threat Intelligence
  • Блог
  • Вебинары
  • Уязвимости и угрозы
Партнеры
  • Авторизованные партнеры
  • Дистрибьюторы
  • Технологические партнеры
  • MSSP-партнеры
  • Авторизованные учебные центры
  • Стать партнером
  • Вход в личный кабинет
О компании
  • История
  • Клиенты
  • Долговые инструменты
  • Пресс-центр
  • Новости
  • Мероприятия
  • Вакансии
  • Контакты
  • Документация и материалы
  • Эксперты
Инвесторам
Positive Technologies
© Positive Technologies, 2002—2023.
Мы в социальных сетях:
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта
© Positive Technologies, 2002—2023.
  • Сообщить об уязвимости
  • Справочный портал
  • Правила использования
  • Политика конфиденциальности
  • Политика использования файлов cookie
  • Юридическая информация
  • Информация в ленте Интерфакс
  • Карта сайта