Roadmap внедрения DevSecOps с нуля

Secure by design. Безопасность, DevSecOps

Аналитика

Защита информации

Code Review

Методологии и процессы разработки ПО; Сроки и приоритеты

Большие проекты/команды

Управление изменениями, управление требованиями

Проектирование информационных систем

Проектные артефакты, инструментарий

Конвергентность

Бизнес-процессы

Управление проектами

Безопасность от планирования до эксплуатации

Безопасность

Типовые ошибки

Инструменты

Инфобезопасность

2 апреля, 16:40, «Малый зал»

Google Outlook Apple

Доклад принят в программу конференции

Целевая аудитория

Доклад будет полезен CISO, руководителям DevSecOps и AppSec-направлений, а также Архитекторам Безопасности, которые планируют системное внедрение инструментов и фреймворков безопасной разработки ПО.

Тезисы

Как выстроить DevSecOps, если процессов безопасной разработки фактически нет?
В докладе — практический Roadmap внедрения: от требований ГОСТ Р 56939-2016 (РБПО) и международных подходов (OWASP, NIST, ISO) к построению зрелого SSDLC.
Разберём, какие практики внедрять в первую очередь, как выстроить безопасность CI/CD без конфликта с Разработкой и как избежать «зоопарка» инструментов.
Отдельно рассмотрим роль ASOC'а в качестве единой точки входа в безопасность приложений и инструмента прозрачности для CISO и DevSecOps/AppSec-лидов.

Александр Фатин

Ximi Group

Руководитель отдела Аналитики Ximi Group.

Технический стек:
- Rust / C / C++ — system / embedded / cybersecurity development
- EDK2 / GNU EFI / UEFI–BIOS, портирование NTFS Kernel Drivers
- Intel Virtualization (VT-d), Hyper-V, Docker / K8s / VM / WSL
- Blockchain (Rust / Solana; EVM Go / Solidity; IoT)
- R&D и НИОКР (белый хакинг; ИБ/КБ-исследования; boxing)
Научная деятельность (ML / Cybersecurity, ≥ 30 публикаций):
- «Временные ряды и вейвлет-анализ»
- «Детектирование сетевых аномалий»
- «Нейрогенетические и генетические алгоритмы (hyper-NEAT)»
- «Кластеризация и иммунизация (адаптивность) SF-сетей»