Профессиональная конференция по интеграции процессов разработки, тестирования и эксплуатации

7 и 8 апреля 2025

Москва

Воркшоп от FinDevSecOps: как реализовать процесс безопасной разработки?

Воркшопы

Доклад отозван

Целевая аудитория

разработчики, appsec, platform engineers, ops, sre

Тезисы

Идея: в сообщество по безопасной разработке FinDevSecOps входят ключевые финтех-компании России, а также компании по разработке решений в области безопасной разработки. За период существования сообщества удалось создать типовой процесс безопасной разработки и матрицу инструментов для реализации процесса с учетом в тч регуляторных требований. На воркшопе представители разных компаний-участников FDSO покажут:
- Как работают проверки проверки безопасности в пайплайне и как их ускорить
- Как безболезненно для команд разработки удовлетворить требования ИБ к блокировке пайплайнов при появлении уязвимостей (quality gates)
- Лучшие практики предоставления отчетов инструментов ИБ командам разработки
- Автоматизация применения DAST практик в CD пайплайнах
- Как построить пайплайн, удовлетворяющий требованиям регулятора в части ИБ-проверок

На воркшопе мы будем использовать инструменты следующего стека:
- GitLab CI/CD
- SemGrep
- OWASP ZAP
- Dependency Track
- Trivy
- ?SonarQube
- Defect Dojo

подробнее про сообщество: http://findevsecops.ru/

* Глава платформы разработки компаний Группы Московская Биржа;
* автор фреймворка Platen — www.platen.dev;
* спикер IT-конференций, лектор;
* создатель внутренних и внешних IT-сообществ;
* вечный студент (MAI tech, HSE IT strategy, RANEPA IBS MBA).

Занимался построением DevOps и инженерной культуры от проектирования и реализации конвейеров до создания и управления платформенными/модифицирующими/продуктовыми командами. Сторонник стратегического подхода инженерных трансформаций c максимальной унификацией процессов и инструментов, направленных на повышение эффективности стримов создания ценностей для компании. Считает, что инвестиции в свою команду, культуру и идейность, являются основными драйверами роста и успеха.

MOEX Group

Московская биржа (входит в MOEX Group) — это крупнейшая в России биржевая площадка по торговле акциями, облигациями, производными инструментами, валютой, инструментами денежного рынка, драгоценными металлами и товарами: - годовой объем торгов - свыше 1 квадриллиона рублей - более 5 тысяч финансовых инструментов могут использовать клиенты Московской Биржи - доступ к MOEX имеют более 30 млн частных инвесторов - 14 часов в сутки - время торгов на большинстве рынков - капитализация Московской биржи 450 млрд рублей - на Московской бирже представлены акции и облигации более 500 эмитентов
Максим Кожокарь

Центральный Банк Российской Федерации

Заместитель начальника управления финансового обслуживания и банковских операций ДИТ.
10 лет разработки нагруженных финансовых систем, 10 лет руководства командами разработки.
Отвечаю за внедрение и развитие информационных систем, обеспечивающих все виды финансовых операций с наличными и безналичными денежными средствами.
Лидирую направление безопасной разработки (DevSecOps) в Банке России, внедряю и развиваю инструменты DevSecOps, проектирую и внедряю изменения в процессы IТ.
Выпускник МГТУ им. Н.Э. Баумана, РАНХиГС ИЭМИТ по программе MBA CIO.

Центральный Банк Российской Федерации

Центральный Банк Российской Федерации.
Илья Шмаков

ПАО Росбанк

Аналитик рисков ИБ, сертифицированный Product Owner DASA, DevOps-инженер. Развивает направление DevSecOps в ПАО Росбанк, занимается платформенной интеграцией в бизнес-процессы и технологический стек команд банка. Развивает культуру DASA DevOps в банке. Магистр информационной безопасности МГТУ им. Н. Э. Баумана.

* Более 5 лет работы в разработке ПО в части DevSecOps, внедрения Shift-Left-подхода.
* Принимал участие в обеспечении безопасности продуктов для BI, E-Commerce, Supply Chain, Cryptocurrency.
* Участвовал в разработке мобильных игр, обеспечивая безопасность микротранзакций, защиту от взлома приложения, abuse серверов (Action Strike, Combat Assault).
* Проработал двухэтапную защиту multisig с учетом распределенного резерва согласно Эскроу-схемы при проверке горячего хранения для StableCoin.
* Обеспечивал противодействие мошенническим операциям с криптовалютными платежами при выводе в Fiat для mining pool (EMCD).

ПАО Росбанк

Росбанк обслуживает порядка 1,7 млн активных розничных клиентов, 88 тысяч активных клиентов малого бизнеса и более 13 тысяч активных клиентов корпоративного бизнеса в 60 регионах России. Сеть банка насчитывает порядка 178 отделений и более 26,4 тыс. банкоматов, включая банкоматы партнерской сети. Росбанк включен Банком России в перечень 13 системно значимых кредитных организаций. Банк имеет наивысшие кредитные рейтинги национальных рейтинговых агентств (АКРА, AAA (RU), «Эксперт РА», ruАА).

DevSecOps Tech Lead, Архитектор процессов ИБ и GRC системы

Т1 НОТА

Т1 НОТА КУПОЛ - разработчик экосистемы продуктов и услуг по информационной безопасности

Технический директор и немного архитектор
Продвигаю DevOps/DevSecOps культуру

15+ лет опыта в ИТ, преимущественно в финтех компаниях.

HDTech

HD Tech разработчик продуктов для автоматизации процесса безопасной разработки программного обеспечения
Александр Гадай

Swordfish Security

* DevSecOps Lead @ Swordfish Security
* Certified DevSecOps Expert

Swordfish Security

Лидер стратегического консалтинга в области DevSecOps. Помогаем компаниям выстраивать качественный и эффективный процесс безопасной разработки, позволяющий выявлять уязвимости, оперативно устранять проблемы и выпускать надежно защищенные продукты.

Видео