DevSecOps Meetup | Купер (ex SberMarket Tech)
Встреча пройдет 21 августа в 19:00 (GMT+3) в московском офисе Купера (ex СберМаркета).
Для тех, у кого не получится присоединиться лично, мы сделаем трансляцию докладов — зарегистрируйтесь, чтобы получить ссылку в день мероприятия.
Ведущий и модератор митапа: — Нияз Кашапов, Руководитель группы безопасности приложений в Купере (ex СберМаркете)
Что в программе?
«Как выстроить DAST на Open-Source: гибкое использование Nuclei и ZAP под сервисы компании»
Алексей Крохин, Специалист по информационной безопасности RuStore
В выступлении подробно раскрою методы и подходы, с помощью которых организован качественный процесс динамического анализа безопасности (DAST) на основе Open-Source решений. Расскажу про особенности сканеров Nuclei и OWASP ZAP, которые привлекли особое внимание при их использовании, а также про архитектурный дизайн решения, раскрывающий его структуру и интеграцию с сервисами RuStore и другими инструментами безопасности.
«Несколько вредных советов для вашего ASPM»
Артём Пузанков, руководитель группы внедрения практик безопасной разработки, Positive Technologies
Артём Кармазин, ведущий эксперт внедрения процессов безопасной разработки, Positive Technologies
Обсудим, почему «вызов из пайплайна GitLabа — это не оркестратор» и «дашборды бесполезны, если нет функциональности». Проведём краткий обзор существующих решений и сравним их, заостряя внимание на наиболее важной функциональности.
«Мы написали свою DSO-платформу, но все равно купили ASOC. Да как так-то?
»
Семён Барышников, специалист по автоматизации процессов безопасной разработки, Купер (ex СберМаркет)
Для построения процессов безопасной разработки такими, какими их видим мы, нам не подошло ни одно коммерческое или Open Source решение из класса VM/ASOC/ASPM. Поэтому было принято решение разработать собственную платформу, которая бы удовлетворяла всем нашим требованиям. Спустя много месяцев разработки и внедрения в процессы компании мы да-да, приняли взвешенное решение и купили ASOC. В докладе расскажем почему именно мы так поступили и чего нам это стоило.
«Как мы Defect Dojo SASTами тестировали»
Кирилл Самосадный, Руководитель отдела SDLC, SolidLab
В докладе пойдет речь о тестирование Defect Dojo на производительность с помощью загрузки большого количества результатов сканирований.
Расскажу о том, как подходим к выбору инструментов статического анализа и их сравнению. Почему необходимо уметь обрабатывать большое количество инструментов и их результатов не только вручную, но и автоматизированно. Как пришли к собственной платформе по защищенной разработке, в которую входит Defect Dojo.
Расскажу про узкие места Defect Dojo и наши оптимизации. Покажу, что часть фичей в Defect Dojo работает не так, как ожидается. И опишу какие нужны навыки, чтобы оптимизировать Defect Dojo.
«Какой должен быть SAST?»
Алексей Федулаев, DevSecOps Team Lead, MTS Web Services
Все мы привыкли жить в парадигме, что опенсорс сканер нужно допиливать руками и отсутствует поддержка, но так ли это? Или проприетарным сканерам также требуется допил? тогда вопрос, зачем платить больше? А самое главное нужно ли это вообще хоть кому-то? Поговорим об этом в ходе доклада
Митап состоится 21 августа в 19:00 (GMT+3) в московском офисе СберМаркета.
А еще после каждого выступления предлагаем открыто обсудить тему и поделиться своим мнением.
* * *
Офлайн-участие:
Важно: количество мест в нашем офисе ограничено. После регистрации мы пришлем подтверждение очного участия за несколько дней до события. Пожалуйста, указывайте ваши данные при регистрации корректно.
В день мероприятия не забудьте захватить с собой паспорт или водительское удостоверение — документ потребуется для пропуска на территорию бизнес-центра.
Трансляция митапа:
На случай, если у вас не получится посетить митап очно, запустим трансляцию на YouTube-канале Купер. Регистрируйтесь в форме ниже — ссылку с напоминанием направим за час до митапа.
Подписывайтесь на наш telegram-канал, чтобы не пропустить анонсы следующих событий!