РИТ++ 2017 завершён!

AppSec, ключ на старт!Информационная безопасность

Доклад принят в программу конференции
Юрий Сергеев
Swordfish Security

Application Security эксперт с опытом 15+ лет в области разработки программного обеспечения и 10+ лет – в области внедрения практик SSDL. Как управляющий партнер в компании Swordfish Security Юрий отвечает за стратегическое позиционирование AppSec-сервисов, развитие бизнеса и ключевые клиентские проекты.

Тезисы

В сложной экосистеме разработки программного обеспечения, даже если инициатива Appllication Security получила зеленый свет и надлежащий бюджет, множество проблем остаются нерешенными для успешного старта: множество дорогостоящих инструментов SAST / DAST / IAST / RASP, минимальное количество appsec-специалистов на рынке труда, несовершенные инженерные процессы, отсутствие метрик и измеримых индикаторов успеха и т.д.

В рамках данной сессии будет продемонстрирован тактический подход для запуска центра компетенций (Software Security Group), адресующий вопросы как приоритезации, масштабируемости, управления портфелем разрабатываемых приложений в контуре AppSec, так и аспекты мотивации команд. Будет презентована структура фреймворка BSIMM как основа практик AppSec и представлена типовая дорожная карта развития зрелости инженерных организаций. Также будут представлены ключевые слагаемые успеха, необходимые для построения концепции SecDevOps в рамках цикла разработки защищенного ПО (Secure Software Development Lifecycle) вместе с практическими рекомендациями.

Непрерывная интеграция
,
Devops / другое
,
Code Review
,
Автоматизация разработки и тестирования
,
Методологии и процессы разработки ПО; Сроки и приоритеты
,
Большие проекты/команды
,
Тестирование безопасности

Другие доклады секции Информационная безопасность