2 апреля 2026
День безопасной разработки с Ximi Group
Впервые на DevOpsConf — отдельный день, посвященный безопасной разработке.
подробнее О событии
Почему стоит прийти?
1
Узнаете как защитить данные и не затормозить процессы
Безопасная разработка давно перестала быть задачей только для особых специалистов. Сегодня это ежедневная работа каждой команды, которая хочет создавать надежные продукты. Однако как встроить требования по защите данных в привычный процесс, чтобы не тормозить создание нового, — вопрос, на который до сих пор нет готового ответа.
2
Получите прикладные знания, применимые на практике
Компания Ximi Group, выступающая и как создатель собственных решений, и как помощник во внедрении, приглашает инженеров по автоматизации разработки и эксплуатации, архитекторов и технических лидеров на день безопасной разработки. Это отдельный тематический день, где не будет общих слов — только разговор о том, как подружить скорость разработки с безопасностью и выполнением требований государства.
3
Целостный путь из разных форматов
В программе дня — не просто выступления, а живое общение и поиск решений: разбор настоящих примеров из практики, обсуждение сложных случаев и ответы на вопросы, которые обычно не задашь с трибуны.
Программа
Всё необходимое для глубокого погружения в тему
«ГОСТ и нормативки рост»
В последние годы требования к разработке безопасного программного обеспечения
в России активно формализуются: появляются новые ГОСТы и методические документы. Однако
разобраться в этом ландшафте непросто — нормативных документов много,
они взаимосвязаны и не всегда дают конкретные практические рекомендации.
В докладе будет рассмотрено текущее состояние регулирования разработки безопасного
ПО (РБПО), ключевые требования ГОСТ Р 56939–2024 и связанных стандартов,
а также практические шаги по их внедрению в процессы разработки.
Мы разберём, какие процессы и артефакты ожидаются от команд разработки,
как в нормативную модель вписываются SAST, DAST и SCA, и что именно нужно
сделать разработчику или DevOps-команде, чтобы соответствовать требованиям
на практике.
Антон Третьяков
PVS-Studio
«BI безопасной разработки ПО»
В докладе мы рассмотрим способы управления процессами безопасной разработки ПО.
И нет! это не про пыщь пыщь в CI/CD, а все сработки SAST
пуш пуш в Jira…
Это про:
получение и агрегация разных данных;
использование BI — инструментов и метрик для принятия решений;
приоритезация работ;
векторы дальнейшего развития и способы автоматизации процессов.
Сащенко Валерий
АО «ГНИВЦ»
«Как защитить раннеры и не сломать пайплайны в gitlab»
Существует множество возможных конфигураций раннеров. Некоторые из конфигураций, которые,
к примеру, используются для testcontainers, могут быть небезопасны.
Из-за дополнительных привилегий может произойти побег из контейнера и захват раннера.
В докладе мы рассмотрим:
как обеспечить безопасность раннеров и сохранить функционал
как сохранить скорость выполнения джоб
как внедрить новый подход и ничего не сломать
Дмитрий Стеганцев
Wildberries & Russ
Воркшоп: «Безопасная разработка своими руками»
Построение безопасной разработки - процесс бесконечный. Но с чего-то нужно начинать, правда? Поэтому
в нашем воркшопе мы пройдем путь от уязвимого веб-приложения на Python до настроенного пайплайна с
Open Source инструментами безопасности, который подсветит нам обнаруженные уязвимости. Все
необходимые для понимания концепции изучим в процессе воркшопа.
Для участия понадобится: ноутбук с любым браузером, базовый навык выполнения команд в VSCode,
минимальный опыт работы с git.
Лев Николаев
Техническая академия Росатома
«Безопасность API без тормозов: реальные практики защиты интеграций в CI/CD-конвейерах»
Доклад об актуальным проблемах обеспечения безопасности API в условиях 2026 года, когда рост количества интеграций и влияние искусственного интеллекта создают новые вызовы для защиты API. Поговорим о ключевые проблемах влияющие на безопасность (неполная инвентаризация API, сложность внедрения мер безопасности в CI/CD-процессы без замедления доставки продукта) и поделимся подходами, которые позволят автоматизировать безопаность ваших приложения.
Виталий Панасенко
CodeScoring
«Бенчмаркинг eBPF-агентов мониторинга безопасности»
Мы расскажем о нашем исследовании по сравнению eBPF агентов мониторинга безопасности (Tetragon, Falco, и т.д.). Исследование главным образом сфокусировано на сравнении производительности агентов при высоких нагрузках. В частности будет представлен подход, позволяющий провести замеры потребления CPU eBPF-программами и представлен соответствующий инструмент для проведения измерений.
Андрей Федотов
Т-Банк
«Roadmap внедрения DevSecOps с нуля»
Как выстроить DevSecOps, если процессов безопасной разработки фактически нет?
В докладе — практический Roadmap внедрения: от требований ГОСТ Р 56939–2016
(РБПО) и международных подходов (OWASP, NIST, ISO) к построению зрелого SSDLC.
Разберём, какие практики внедрять в первую очередь, как выстроить безопасность CI/CD
без конфликта с Разработкой и как избежать «зоопарка» инструментов.
Отдельно рассмотрим роль ASOC'а в качестве единой точки входа в безопасность приложений
и инструмента прозрачности для CISO и DevSecOps/AppSec-лидов.
Александр Фатин
Ximi Data
Круглый стол: «А как Вы внедряли ИБ?»
DevSecOps почти всегда начинается с конфликта между скоростью разработки и требованиями
безопасности.
Через год после старта DevSecOps у большинства компаний появляется 5–10 security-инструментов и
полная потеря управляемости.
DevSecOps без метрик превращается в "мы что-то сканируем".
темы события
Направления для вашего профессионального роста
Безопасность внутри процесса
Как встроить проверки безопасности в ежедневную работу над кодом? Рассмотрим настройку процессов так, чтобы защита данных стала не внешней проверкой, а частью работы каждого участника команды.
Отслеживание уязвимостей в коде и внешних библиотеках
Обсудим, какие инструменты действительно помогают, а какие создают лишний шум.
Построение процесса безопасной разработки с нуля
Рассмотрим на практике кейсы с которыми вы можете столкнуться, начиная свой пусть в безопасной разработке.
Защита пайплайнов и раннеров
Разберемся, как не сломать CI/CD, добавляя в него проверки безопасности.
Работа с требованиями государства
Как привести разработку в соответствие с ГОСТом и нормативными документами? Разберём, как описывать требования безопасности кодом и автоматизировать проверки, чтобы проходить проверки регуляторов без авралов.
Защита данных в системах с высокой нагрузкой
Обсудим, как предотвратить утечки и грамотно управлять доступом, не жертвуя производительностью.
Практика применения SAST-анализаторов и подготовки к проверкам по ГОСТу
Метрики и аналитика в безопасности разработки
Разберемся, как на цифрах показать прогресс и убедить руководство.
Люди и взаимодействие
Как вырастить внутри команды культуру безопасной разработки? Поговорим о том, как не стать «надзирателем», а создать среду, где забота о безопасности — общая ценность.
Разбор настоящих примеров внедрения
Участники смогут поделиться своими сложностями и вместе найти решения.
Роль создателя программ и помощника во внедрении
Обсудим, как выбирать подходы к построению защищенных систем, опираясь на экспертизу разных игроков рынка.
Формирование сообщества
Обмен опытом и установление профессиональных контактов.
О тематическом дне
Почему мы сделали «День безопасной разработки»?
Тема безопасной разработки объединяет всё больше команд: требования регуляторов ужесточаются, а готовые решения под каждую конкретную задачу подобрать сложно.
Трек соберет инженеров и архитекторов, которые ежедневно сталкиваются с профессиональными вызовами. В программе — только практика: разбор реальных кейсов, круглый стол и живое обсуждение вопросов, которые обычно не успевают задать в рамках традиционных докладов.
Задача дня — дать участникам возможность обсудить сложные случаи, сравнить подходы и найти тех, кто уже прошёл похожий путь. Сообщество, которое складывается вокруг общих проблем, остаётся с тобой надолго.
