DevSecOps Meetup

Компания Купер (ex СберМаркет), приглашает на митап по построению процессов безопасности приложений.

Ведущий и модератор митапа: — Нияз Кашапов, Руководитель группы безопасности приложений в Купере (ex СберМаркете)

Программа митапа:

• «Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании». Алексей Крохин, Специалист по информационной безопасности RuStore. В выступлении подробно раскрою методы и подходы, с помощью которых организован качественный процесс динамического анализа безопасности (DAST) на основе Open-Source решений. Расскажу про особенности сканеров Nuclei и OWASP ZAP, которые привлекли особое внимание при их использовании, а также про архитектурный дизайн решения, раскрывающий его структуру и интеграцию с сервисами RuStore и другими инструментами безопасности.
• «Несколько вредных советов для вашего ASPM». Артём Пузанков, руководитель группы внедрения практик безопасной разработки, Positive Technologies, Артём Кармазин, ведущий эксперт внедрения процессов безопасной разработки, Positive Technologies. Обсудим, почему «вызов из пайплайна GitLab’а — это не оркестратор» и «дашборды бесполезны, если нет функциональности». Проведём краткий обзор существующих решений и сравним их, заостряя внимание на наиболее важной функциональности.
• «Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?…». Семён Барышников, специалист по автоматизации процессов безопасной разработки, Купер (ex СберМаркет). Для построения процессов безопасной разработки такими, какими их видим мы, нам не подошло ни одно коммерческое или Open Source решение из класса VM/ASOC/ASPM. Поэтому было принято решение разработать собственную платформу, которая бы удовлетворяла всем нашим требованиям. Спустя много месяцев разработки и внедрения в процессы компании мы … да-да, приняли взвешенное решение и купили ASOC. В докладе расскажем почему именно мы так поступили и чего нам это стоило.
• «Как мы Defect Dojo SASTами тестировали». Кирилл Самосадный, Руководитель отдела SDLC, SolidLab. В докладе пойдет речь о тестирование Defect Dojo на производительность с помощью загрузки большого количества результатов сканирований. Расскажу о том, как подходим к выбору инструментов статического анализа и их сравнению. Почему необходимо уметь обрабатывать большое количество инструментов и их результатов не только вручную, но и автоматизированно. Как пришли к собственной платформе по защищенной разработке, в которую входит Defect Dojo. Расскажу про узкие места Defect Dojo и наши оптимизации. Покажу, что часть фичей в Defect Dojo работает не так, как ожидается. И опишу какие нужны навыки, чтобы оптимизировать Defect Dojo.
• «Какой должен быть SAST?». Алексей Федулаев, DevSecOps Team Lead, MTS Web Services. Все мы привыкли жить в парадигме, что опенсорс сканер нужно допиливать руками и отсутствует поддержка, но так ли это? Или проприетарным сканерам также требуется допил? тогда вопрос, зачем платить больше? А самое главное нужно ли это вообще хоть кому-то? Поговорим об этом в ходе доклада

На случай, если у вас не получится посетить митап очно, запустим трансляцию.