10 декабря в Москве прошел пятый День безопасной разработки ПО — ежегодная отраслевая конференция под эгидой Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт». Мероприятие состоялось при участии ИСП РАН им. В.П. Иванникова на площадке Открытой конференции ИСП РАН.

Рост киберугроз сегодня все больше повышает интерес ИТ-сообщества к защите информации и внедрению практик безопасной разработки ПО. Участниками Дня РБПО в гибридном формате стали порядка 1000 специалистов по информационной безопасности, разработчиков ПО, технических директоров, лидеров AppSec команд, а также представителей регуляторов, отраслевого и научного сообщества.

Модератором конференции традиционно выступил Роман Карпов, глава комитета по информационной безопасности АРПП «Отечественный софт», директор по стратегии и развитию технологий Axiom JDK. Открывая конференцию, он отметил, что популяризация практик и инструментов безопасной разработки — одна из ключевых задач работы ИБ-комитета АРПП. «Два года назад День РБПО начинался как закрытая встреча для профильных специалистов, но сегодня с учетом новых киберугроз и вызовов формат и масштаб события заметно расширились. По нашим данным, вовлеченность ИТ-компаний в тематику безопасной разработки за этот период выросла более чем в 10 раз. Появилось понимание конкретных потребностей разработчиков и приоритетные категории инструментов: это трекинг задач и багов, статический анализ кода, динамический анализ кода и инструменты композиционного анализа. Пятый, юбилейный День РБПО мы проводим совместно с ИСП РАН, партнером, который поддерживает нас с точки зрения методологического вклада и инструментов. Такая синергия науки и бизнеса очень важна для отрасли, она дает дополнительные стимулы и возможности для устойчивого развития и достижения целей технологического суверенитета».

Приветствуя участников конференции, исполнительный директор АРПП «Отечественный софт» Ренат Лашин констатировал: «Сообщество безопасной разработки активно растет: интерес и понимание становятся глубже, а заказчики все чаще обращают внимание на эффективно защищенные решения. Именно поэтому мы планируем внедрить новый формат Дней РБПО: в первом полугодии проводить мероприятие под эгидой АРПП, как это было раньше, а каждый декабрь — совместное мероприятие с ИСП РАН и ФСТЭК, как сегодня. Такой ритм позволит в первом полугодии обсуждать планы и задачи, а во втором — подводить итоги. Уверен, что регулярный диалог между вендорами, регуляторами, заказчиками и конечными пользователями российских решений поможет быстрее согласовывать ожидания и практики всех сторон».

Арутюн Аветисян, директор ИСП РАН, подчеркнул: «То, что сегодня собрались вместе представители науки, бизнеса и государства, — знаковая история: еще год-два назад такую синхронизацию сложно было представить. Практика показывает, что отдельные проекты больше не решают задачу, нужен переход к сообществу вокруг технологий. Государство важно прежде всего как регулятор, который задает прозрачные правила игры, а не только как источник поддержки. Тогда отрасль растет и требования к уровню решений становятся общими для рынка».

Илья Массух, директор Центра компетенций по импортозамещению в сфере ИКТ, акцентировал внимание на том, что импортозамещение сегодня — это и есть безопасная разработка: «Понимание безопасной разработки ПО со временем изменилось. Сначала шла дискуссия о том, что надежнее: западный вендор или open source. Со временем пришло осознание, что зарубежные продукты несут риски и могут использоваться для атак и встраивания деструктивных элементов. На этом фоне важную роль сыграл open source, поддерживаемый российскими разработчиками. Импортозамещение стало чем-то большим: сегодня создаются решения на отечественных компонентах, и делается это безопасно. В этом большая заслуга сообщества, которое объединилось вокруг создания российского ядра Linux при ИСП РАН, и многих участников АРПП, поддерживающих принципы безопасной разработки».

Деловую программу продолжила Елена Маньжова, представитель органа по сертификации ИСП РАН. Эксперт рассказала, зачем нужна унификация регламентов РБПО и как пользоваться типовым комплектом документов: что в него входит, почему выбран именно такой набор, как выстраивать работу с материалами и обратной связью. «Есть две глобальные цели унификации регламентов безопасной разработки. Первая — методическая помощь ИТ-компаниям при подготовке собственного комплекта документов. Для этого предлагаются готовые проекты, разработанные нами, которые соответствуют основному стандарту по РБПО и учитывают связанные стандарты. Вторая цель — помощь при внедрении. Она рассчитана на тех, кто только начинает и не понимает, как выстроить процессы так, чтобы они соответствовали стандартам», — сообщила Елена Маньжова. Подготовка типового набора документов — большое подспорье для компаний, внедряющих РБПО, и это полностью отвечает запросу членов ИБ-комитета АРПП «Отечественный софт».

Далее эксперты рассмотрели конкретные кейсы компаний по контролю кода и компонентов, снижению ложных срабатываний анализаторов, внедрению культуры безопасной разработки и применению подходов DevSecOps.

  • Константин Крючков, руководитель продукта AppSec.Track AppSec Solutions, поднял вопрос о том, возможно ли построить безопасный и контролируемый репозиторий и сколько стоит его поддерживать.
  • Илья Смит, начальник отдела разработки инструментов превентивного анализа ПАО «Банк ПСБ», выступил с докладом об автоматизации проверок ПО на недекларированные возможности.
  • Сергей Волков, директор центра Киберзащиты cloud.ru, раскрыл кейс компании о создании и продвижении гибридного и приватного облачного решения, сертифицированного по требованиям ФСТЭК.
  • Борис Изюмов, руководитель по развитию АНО «Консорциум технологической независимости ИПО» представил первые в отрасли единые рекомендации по безопасной разработке в нефтегазовой отрасли.
  • Александр Уланов, корпоративный архитектор VK Tech, рассказал о платформе для процессов DevSecOps.
  • Мария Шеховцова, руководитель группы архитектуры и анализа безопасной разработки Positive Technologies, проанализировала способы снижения ложных срабатываний при статическом анализе кода и проверке сторонних компонент.
  • Игорь Игнатьев, руководитель направления защиты приложений VK Tech, поделился опытом реализации ASOC самообслуживания в big-tech компании.
  • Оксана Гаврилова, лидер направления «ИТ в Фармацевтики» передовой инженерной школы МГУ им. Ломоносова, участник ИЦК «Химия и Фармацевтика», озвучила требования к безопасному ПО для высокорегулируемых отраслей на примере фармацевтической и авиационной сфер.
  • Антон Михайлов, владелец продукта SASTAV ShiftLeft Security, обозначил эволюцию подхода к безопасности приложений (Application Security) от тактических к стратегическим платформам.
  • Сас Арустамян, директор центра оценки соответствия и тестирования АО «НПО «Эшелон», говорил о способах внедрения культуры РБПО во всей организации.
  • Дмитрий Павлов, начальник отдела цифровой надежности ПО управление доверенных ИТ-сервисов АО «Гринатом», описал практику вынужденного и резкого внедрения безопасной разработки после волны инцидентов в 2022 году.
  • Никита Щиенко, java—разработчик, владелец продуктовой команды OpenBPM «Хоулмонт», продемонстрировал возможность локализации инфраструктурных программных решений на примере BPM-движка.
  • Андрей Миняев, руководитель центра ИБ Digital Design, и Андрей Аверин, старший инженер по ИБ Digital Design, раскрыли особенности разработки собственного решения класса Vulnerability Management с применением принципов As a Code.
  • Алексей Захаров, директор по технологическому консалтингу Axiom JDK, объяснил комплексный подход к обеспечению безопасности критически важных Java-приложений (таких, например, как система платежных карт «Мир») с акцентом на практике верификации и защитных мерах.
  • Алексей Смирнов, основатель CodeScoring, представил обзор популярных атак на цепочку поставки.

День РБПО в очередной раз подтвердил статус знаковой площадки для предметного обмена практиками безопасной разработки и обсуждения требований, которые задают стандарты для отрасли.

Источник: АРПП «Отечественный софт»