Воркшоп от FinDevSecOps: как реализовать процесс безопасной разработки?
Доклад отозван
Целевая аудитория
Тезисы
Идея: в сообщество по безопасной разработке FinDevSecOps входят ключевые финтех-компании России, а также компании по разработке решений в области безопасной разработки. За период существования сообщества удалось создать типовой процесс безопасной разработки и матрицу инструментов для реализации процесса с учетом в тч регуляторных требований. На воркшопе представители разных компаний-участников FDSO покажут:
- Как работают проверки проверки безопасности в пайплайне и как их ускорить
- Как безболезненно для команд разработки удовлетворить требования ИБ к блокировке пайплайнов при появлении уязвимостей (quality gates)
- Лучшие практики предоставления отчетов инструментов ИБ командам разработки
- Автоматизация применения DAST практик в CD пайплайнах
- Как построить пайплайн, удовлетворяющий требованиям регулятора в части ИБ-проверок
На воркшопе мы будем использовать инструменты следующего стека:
- GitLab CI/CD
- SemGrep
- OWASP ZAP
- Dependency Track
- Trivy
- ?SonarQube
- Defect Dojo
подробнее про сообщество: http://findevsecops.ru/
* Глава платформы разработки компаний Группы Московская Биржа;
* автор фреймворка Platen — www.platen.dev;
* спикер IT-конференций, лектор;
* создатель внутренних и внешних IT-сообществ;
* вечный студент (MAI tech, HSE IT strategy, RANEPA IBS MBA).
Занимался построением DevOps и инженерной культуры от проектирования и реализации конвейеров до создания и управления платформенными/модифицирующими/продуктовыми командами. Сторонник стратегического подхода инженерных трансформаций c максимальной унификацией процессов и инструментов, направленных на повышение эффективности стримов создания ценностей для компании. Считает, что инвестиции в свою команду, культуру и идейность, являются основными драйверами роста и успеха.
MOEX Group
Заместитель начальника управления финансового обслуживания и банковских операций ДИТ.
10 лет разработки нагруженных финансовых систем, 10 лет руководства командами разработки.
Отвечаю за внедрение и развитие информационных систем, обеспечивающих все виды финансовых операций с наличными и безналичными денежными средствами.
Лидирую направление безопасной разработки (DevSecOps) в Банке России, внедряю и развиваю инструменты DevSecOps, проектирую и внедряю изменения в процессы IТ.
Выпускник МГТУ им. Н.Э. Баумана, РАНХиГС ИЭМИТ по программе MBA CIO.
Центральный Банк Российской Федерации
Аналитик рисков ИБ, сертифицированный Product Owner DASA, DevOps-инженер. Развивает направление DevSecOps в ПАО Росбанк, занимается платформенной интеграцией в бизнес-процессы и технологический стек команд банка. Развивает культуру DASA DevOps в банке. Магистр информационной безопасности МГТУ им. Н. Э. Баумана.
* Более 5 лет работы в разработке ПО в части DevSecOps, внедрения Shift-Left-подхода.
* Принимал участие в обеспечении безопасности продуктов для BI, E-Commerce, Supply Chain, Cryptocurrency.
* Участвовал в разработке мобильных игр, обеспечивая безопасность микротранзакций, защиту от взлома приложения, abuse серверов (Action Strike, Combat Assault).
* Проработал двухэтапную защиту multisig с учетом распределенного резерва согласно Эскроу-схемы при проверке горячего хранения для StableCoin.
* Обеспечивал противодействие мошенническим операциям с криптовалютными платежами при выводе в Fiat для mining pool (EMCD).
ПАО Росбанк
DevSecOps Tech Lead, Архитектор процессов ИБ и GRC системы
Т1 НОТА
Технический директор и немного архитектор
Продвигаю DevOps/DevSecOps культуру
15+ лет опыта в ИТ, преимущественно в финтех компаниях.
HDTech
* DevSecOps Lead @ Swordfish Security
* Certified DevSecOps Expert
Swordfish Security
Видео
Другие доклады секции
Воркшопы