Технопарк Morion Digital + онлайн
8 октября 2022, 12:00
4 часа

Митап #DevTalks.
Безопасная разработка: лучшие практики, DevSecOps, пентест, взаимодействие IT и Security

Митап будет посвящен лучшим практикам, взаимодействию разработчиков и специалистов по безопасности. Участники смогут получить новый опыт в сфере OSINT и пентеста, познакомиться с коллегами по цеху, взглянуть на процессы разработки ПО в контексте безопасности.

Организаторы и партнеры
Зарегистрироваться
Для кого
Митап ориентирован на разработчиков и специалистов по безопасности. Участники смогут получить новый опыт в сфере OSINT и пентеста, познакомиться с коллегами по цеху, взглянуть на процессы разработки ПО в контексте безопасности.
Формат митапа
Офлайн-митап + онлайн-трансляция.
4 доклада от спикеров с возможностью задать вопросы и получить ответы.

Доклады

11:30–11:55
Регистрация и приветственный кофе
11:55–12:00
Вступительное слово
12:00–12:55
Настройка SSO авторизации в инфраструктурных сервисах c помощью dex + Keycloak
Цыкарев Алексей
Вячеслав Бессонов
Co-founder and CEO of Hilbert Team
Ошибки в конфигурации IAM (Identity Access Management) — частая причина security и data breaches. SSO-аутентификация позволяет унифицировать процесс управления пользователями, их ролями и привилегиями и решает эту проблему. Однако практическое внедрение SSO в большую организацию может представлять собой весьма сложный и нетривиальный процесс.

В докладе будет рассмотрен практический кейс внедрения SSO в крупный международный маркетплейс, в результате которого удалось унифицировать процесс управления тысячами пользователей и организовать «сквозной» доступ к десяткам внутренних систем (Grafana, Kibana, HashiCorp Vault, WireGuard, Kubernetes, и т. д.), используя единую учетную запись.

Вячеслав рассмотрит:
1. Использование связки dex и Keycloak для интеграции IT-пользователей из GitHub с бизнес-пользователями из других систем.
2. Способы настройки SSO-аутентификации и авторизации для клиентских приложений, которые изначально не поддерживают SSO (например, WireGuard GUI) с помощью OAuth2 Proxy.
3. SSO-аутентификацию и авторизацию в Yandex Managed Service for Kubernetes, использующую федеративный доступ.
4. Декларативное описание конфигурации IAM (клиентские приложения, группы, роли и их ассоциация с группами) с помощью Terraform.

Доклад будет полезен DevOps-инженерам, CTO и CIO, которые стремятся упростить процессы IAM и внедрить SSO-аутентификацию и авторизацию в своих организациях.
13:00–13:55
Заказная разработка и DevSecOps: существующие инструменты, процесс внедрения и сопровождения. Ищем баланс между безопасностью, стоимостью и удобством
Цыкарев Алексей
Олег Казаков
Технический директор в Spectr
Разрабатывая ПО на заказ, мы всегда действуем в условиях ограниченных сроков и бюджетов и зачастую приходится пренебрегать безопасностью. А при внедрении в процесс разработки практик DevSecOps вопрос стоимости их внедрения и сопровождения выходит на передний план.

Специфика заказной разработки такова, что зачастую реализуемые компанией проекты имеют множество различий, которые нужно учитывать при внедрении DevSecOps. Нужен набор универсальных практик, которые получится масштабировать на все проекты так, чтобы это не приводило к существенному росту проектных бюджетов.

В данном докладе поговорим о существующих способах обеспечения безопасности и о том, как сложно/дорого их интегрировать в процесс разработки в условиях неоднородности стека/архитектуры/инфраструктуры/процессов реализуемых проектов. Рассмотрим основные классы инструментов автоматической проверки безопасности и рассмотрим процесс внедрения по каждому их них — например: Gitleaks, Trivy, OWASP ZAP и др. Особое внимание уделим стоимости первичного внедрения и дальнейшего применения.

В результате слушатели смогут более взвешенно принимать решения о необходимости внедрения тех или иных практик DevSecOps, в том числе с точки зрения их экономической целесообразности. 
13:55–14:15
Кофе-брейк
14:20–15:15
Типичные ошибки веб-разработчика, или Как усложнить OSINT’теру жизнь
Цыкарев Алексей
Антон Тиунов
Специалист по защите информации в LMSecurity
В 21-м веке информацию можно считать валютой. Тем не менее разработчики веб-приложений пренебрегают сохранностью своего «кошелька», соря «деньгами».

Антон расскажет о своем опыте сбора информации о веб-приложении для проведения тестирования на проникновение. Будут рассматриваться баги и мисконфигурации в сайтах, с помощью которых можно достать информацию.  

А также:
— разберем схему поиска информации о сайте для проведения тестирования на проникновение;
— обсудим опасности, которые таит в себе открытое REST API;
— рассмотрим, чем опасна утечка данных в поисковые системы;
— узнаем, что может «рассказать» файл.

Доклад позволит веб-разработчикам понимать, как работают OSINT’теры, и делать свои приложения более безопасными.
15:20–16:15
Как стать хакером за 40 минут, или Эксплуатируем типичные ошибки безопасности в веб-приложениях
Цыкарев Алексей
Алексей Шайдоков
Руководитель в LMSecurity
В своем докладе Алексей расскажет, к каким последствиям приводят допущенные на этапе разработки ошибки, и подробно рассмотрит процесс эксплуатации этих ошибок злоумышленниками. 

В докладе будут затронуты темы:
— как некорректная работа с кавычками приводит к утечке пользовательских паролей;
— как заставить сервер взломать другой сервер;
— про «инъекции»;
— про то, как использование «дырявых» компонентов приводит к массовым взломам.

Доклад поможет понять, как действуют злоумышленники при взломе веб-приложений, распознавать различные способы хакерских атак и превентивно предотвращать их появление.

Прошедшие мероприятия

Spectr регулярно организовывает эвенты для разработчиков: технические митапы #DevTalks и большую конференцию Ural Digital Weekend.
Технопарк Morion Digital (Пермь, ш. Космонавтов, д. 111, к. 10)
+ онлайн-трансляция
8 октября 2022
4 часа
Зарегистрируйтесь для участия!
Регистрация на мероприятие для офлайн- и онлайн-участия обязательна
Контакты для связи
Екатерина Земцова
HR-директор