Место проведения
Алматы, Атакент, 9-ый пав.
Дата проведения
25 апреля 2025
Онлайн
Трансляция на YouTube
Бесплатно
Зарегистрироваться
Стандарт
В подарок
10 000 KZT
Купить билет
О конференции
Это место, где решения для самых сложных вызовов создаются на стыке технологий и безопасности, а сотрудничество превращается в новые стандарты для безопасного мира. Присоединяйтесь, чтобы вдохновляться, учиться и становиться частью глобального движения за безопасность в цифровую эпоху!
AppSecFest — это ежегодное событие, где передовые подходы к разработке и защите приложений формируют будущее технологий. В третий раз мы собираем лидеров IT-индустрии, DevSecOps-практиков и экспертов по безопасности, чтобы делиться инновациями, инструментами и лучшими практиками.
4 Macbook`а для вас
Более подробно об условиях мы расскажем на конференции и в официальных каналах.
Мы дарим четыре новых MacBook Air от Freedom Holding Corp. участникам конференции! Чтобы выиграть один из них, достаточно:
✔️ Посетить мероприятие,
✔️ Участвовать в активностях,
✔️ Следить за розыгрышами.
X
Что будет в лавке подарков?
OpenCTF в коллаборации с Mimicats Team
  • Система баллов и лидерборд
  • AppSec-коины, которые можно обменять на призы в лавке
  • Индивидуальное участие – покажи, на что способен
  • Главный приз - Macbook Air от Freedom Holding Corp.
  • Macbook Air от Freedom Holding Corp.
  • Тематические книги
  • Стикерпаки
  • Подарки от партнеров
  • Тематический мерч
  • И прочее
Впервые на AppSecFest пройдёт открытое CTF-соревнование от команды mimicats – прокачай свои скиллы в реальных задачах по информационной безопасности. Уникальный формат, максимум практики, никакой теории — только ты и вызов
Уникальный формат, максимум практики, никакой теории — только ты и вызов
Всё просто — подойди к стендам на фестивале, спроси о Коинах и получи задание. Участие и коины доступны у всех стендов и партнеров.
Эта монета позволит вам покупать призы в лавке. Копите монеты и покупайте выбранные вами призы.
Испытай себя в роли хакера! 🔥
Web Exploitation
Находи уязвимости в веб-приложениях
Mobile
Тестируй мобильные приложения
OSINT
Решай задачи через анализ открытых источников
Reverse Engineering
Анализируй и ломай исполняемые файлы
Обменивай на призы
Получай appsec-коины
Зарабатывай баллы
Решай
AppSecCoin – монета конференции для покупки призов
Участие только со своим ноутбуком!
Спикеры и расписание AppSecFest 2025
На AppSecFest выступят ведущие мировые и Казахстанские эксперты в областях разработки, безопасности и AppSec
  • Дэниел Чернов
    Генеральный директор
    DerScanner
    Подробнее о спикере
    Как провести Security Code Review и сохранить рассудок
  • Алексей Федулаев
    Head of Cloud Native Security
    Независимый эксперт
    Подробнее о спикере
    All right, keep your secrets secure (Ладно уж, храни свои секреты безопасно)
  • Денис Валяев
    Team Lead
    АО «Центральный депозитарий ценных бумаг»
    Подробнее о спикере
    Уровни безопасности финансового приложения: на сколько глубока кроличья нора
  • Светлана Газизова
    Директор по построению процессов безопасной разработки
    Независимый эксперт
    Подробнее о спикере
    AppSec'ов вызывают по второй линии! Или как обеспечить безопасность моделей машинного обучения?
  • Валерия Ким
    Solutions Engineer Lead
    DerScanner
    Подробнее о спикере
    Как заставить ИИ работать на вашу безопасность
  • Игорь Петров
    Руководитель спец. проектов, основатель отдела заботы
    CodeScoring
    Подробнее о спикере
    Тайны пакетных менеджеров. И где здесь про безопасность?
  • Татьяна Коршикова
    Главный эксперт направления безопасности продуктов
    Freedom Holding Corp. Независимый эксперт
    Подробнее о спикере
    Исправляли и не исправили: как мутируют баги
  • Иван Филько
    Application security engineer
    Независимый эксперт
    Подробнее о спикере
    Поэтапное внедрение SSDLC и подводные камни
  • Екатерина Шевченко
    Lead Security Testing Engineer, Team Lead
    Независимый эксперт
    Подробнее о спикере
    Твой забытый EC2-инстанс — моя точка входа: Как Red Team компрометирует облако
  • Дмитрий Пак
    Начальник управления техподдержки ЦОД
    АО Казтелепорт
    Подробнее о спикере
    Эволюция инфраструктуры: от Colocation до Managed Kubernetes
  • Темирлан Биржанов
    Senior QA Automation Engineer
    Независимый эксперт
    Подробнее о спикере
    UI тесты в действии: от сценария до стабильного запуска
  • Расул Айтбаев
    Head of RedTeam
    Freedom Holding Corp.
    Подробнее о спикере
    Анатомия проникновения: DevSecOps глазами атакующего
  • Адиль Нурманов
    Offensive Security Engineer
    DataArt
    Независимый эксперт
    Подробнее о спикере
    1С за всех, все на 1С: как не стоит админить бухгалтерию
  • Олег Юрченко (undefi)
    Host: oops.domain.internal - чит-код на пропуск в инфраструктуру
  • Антон Михайлов
    Владелец продукта SASTAV
    (Product Owner)
    ITD Group
    Подробнее о спикере
    Эволюция Application Security: правильной ли дорогой идем, товарищи?
  • Soffian Osman
    Regional Sales Manager
    Sonatype
    Подробнее о спикере
    Balancing Innovation, Speed and Security with the Evolution of Artificial Intelligence
  • Михаил Парфенов
    Application Security Architect DPA Analytics
    Подробнее о спикере
    Frontend Application Security Testing (FAST). Задачи подхода и место в DevSecOps/SSDLC
  • Константин Мазуров
    IT директор
    Technodom и Airba
    Подробнее о спикере
    «Никогда не» или практическая безопасная backend разработка
  • Бакытжан Сейтказин
    Управляющий директор, СТО
    Центральный депозитарий ценных бумаг
    Подробнее о спикере
    Спикер панельной сессии Sec Zone
  • Ренат Туканов
    Chief Technology Officer Freedom Holding Corp.
    Подробнее о спикере
    Спикер панельной сессии App Zone
  • Никита Баев
    Head of Web & Mobile (Development)
    Bereke Bank
    Спикер панельной сессии App Zone
  • Фарух Бакиев
    Head of DMP (Data management platform)
    Tele2
    Подробнее о спикере
    Спикер панельной сессии App Zone
09:00-10:00
Регистрация и приветственный кофе
10:00-10:05
Приветственное слово
Съездбек Темирбеков, CEO в AST Cyber Lab
10:05-10:40
Как заставить ИИ работать на вашу безопасность
Валерия Ким
Solutions Engineer Lead
DerScanner
Искусственный интеллект становится неотъемлемой частью разработки программного обеспечения, помогая генерировать код и легко подбирать open-source библиотеки. Но как понять, когда ИИ помогает, а когда создает риски? Какие новые угрозы он приносит в область безопасности приложений, и как с ними справляться?

В рамках этого доклада обсудим, как ИИ уже меняет процесс разработки. Вы узнаете, какие скрытые опасности могут быть связаны с его бездумным внедрением и как новые технологии становятся причиной появления новых видов уязвимостей. Особое внимание будет уделено тому, как ИИ можно использовать с умом, чтобы повысить не только эффективность работы команды, но и уровень безопасности приложений.
10:40-11:05
Тайны пакетных менеджеров. И где здесь про безопасность?
Игорь Петров
Руководитель спец. проектов, основатель отдела заботы
CodeScoring
В контексте безопасной разработки и композиционного анализа рассмотрим базовые правила и принципы работы менеджеров пакетов. Как определяются версии пакетов, которые пойдут в сборку? Насколько разработчик действительно управляет тем, что собирает в продукт?
11:05-11:30
Эволюция Application Security: правильной ли дорогой идем, товарищи?
Антон Михайлов
Владелец продукта SASTAV (Product Owner)
ITD Group
Сегодня многие специалисты смотрят в сторону ASOC (Application Security Orchestration & Correlation) и ASPM (Application Security Posture Management). Эти технологии становятся естественным продолжением концепции безопасности приложений и подхода DevSecOps. Однако возникает важный вопрос: насколько эффективно работают существующие методы агрегирования и корреляции данных от разных инструментов и практик? Хватает ли им для этого качества данных? Не превращается ли «снежный ком» из False Negative и False Positive в мощную лавину, способную снести все на своем пути? О практике подготовки данных мы расскажем в своей презентации.

11:30-12:00
Кофе-брейк
12:00-13:00
Панельная сессия:
AppSec: всё, что вы хотели знать, но боялись спросить
  • Алексей Федулаев, Head of Cloud Native Security. Независимый эксперт
  • Бакытжан Сейтказин, Управляющий директор, СТО, Центральный депозитарий ценных бумаг
  • Светлана Газизова, Директор по построению процессов безопасной разработки. Независимый эксперт
  • Татьяна Коршикова, Главный эксперт направления безопасности продуктов Freedom Holding Corp. Независимый эксперт
13:00-14:00
Обед
14:00-14:20
Анатомия проникновения: DevSecOps глазами атакующего
Расул Айтбаев
Head of RedTeam
Freedom Holding Corp.
Данный доклад расскажет о том, как выглядит DevSecOps глазами атакующего, на примерах реальных инцидентов и типовых ошибок, которые дорого обходятся компаниям.
14:20-14:55
All right, keep your secrets secure (Ладно уж, храни свои секреты безопасно)
Алексей Федулаев
Head of Cloud Native Security
Независимый эксперт
Доклад полностью посвящен работе с секретами. Мы узнаем, какие угрозы существуют, рассмотрим атаки на компрометацию секретов, разберемся, от всего ли спасет Vault, затронем вопросы доставки секретов в k8s, узнаем, как дизайн работы с секретами влияет на безопасность приложения.
14:55-15:15
Host: oops.domain.internal - чит-код на пропуск в инфраструктуру
Олег Юрченко
RedTeam Lead
RTEAM
Доклад о том, как один внешний IP и заголовок Host открывают доступ к приватным сервисам.
15:15-15:40
Frontend Application Security Testing (FAST). Задачи подхода и место в DevSecOps/SSDLC
Михаил Парфенов
Application Security Architect
DPA Analytics
Поговорим, почему классические анализаторы (SAST, DAST, IAST, OSA/SCA) не применимы для frontend-приложений, а современный браузер - идеальная точка монетизации взлома для злоумышленников. Рассмотрим, как защититься от Supply Chain-атак в js-библиотеках и выпускать безопасные приложения по принципу Secure By Design с помощью FAST-анализаторов.
15:40-16:10
Кофе-брейк
16:10-16:40
Твой забытый EC2-инстанс — моя точка входа: Как Red Team компрометирует облако
Екатерина Шевченко
Lead Security Testing Engineer, Team Lead
независимый эксперт
Забытые и немониторируемые EC2-инстансы представляют собой одну из наиболее распространенных уязвимостей в облачной инфраструктуре. В данном докладе рассматриваются методы, с помощью которых злоумышленники обнаруживают такие инстансы, используют уязвимости веб-приложений для проникновения, извлекают AWS Access Keys и проводят разведку внутри облачного аккаунта. Особое внимание уделяется OPSEC-методам, позволяющим атакующим оставаться незаметными, а также практическим мерам защиты, которые помогут минимизировать риски компрометации.
16:40-17:10
Поэтапное внедрение SSDLC и подводные камни
Иван Филько
Application security engineer
Независимый эксперт
Опыт внедрения процессов SSDLC в компании и почему Application Security начинается с документа, а не с покупки SAST.
17:10-17:20
Подведение итогов, вручение призов
09:00-10:00
Регистрация и приветственный кофе
10:00-10:05
Приветственное слово
Тимур Шайхин, CTO в AST Cyber Lab
10:05-10:40
Как провести Security Code Review и сохранить рассудок
Дэниел Чернов
Генеральный директор
DerScanner
Почему обычный code review часто превращается в долгий, запутанный и малоэффективный процесс? Как объединить качество кода, безопасность и удобство для команды? Ответы на эти вопросы прозвучат в докладе Дэниела Чернова.
Вас ждет анализ основных проблем code review, от отсутствия стандартов до высокой сложности поиска уязвимостей и излишней траты времени команды. Мы поговорим о том, почему автоматизация процессов так важна, и какой подход лучше всего работает на практике.
Приглашаем всех, кто заботится о безопасности и качестве программного обеспечения, и хочет узнать, как сохранить не только высокие стандарты кода, но и позитивный настрой!
10:40-11:05
Уровни безопасности финансового приложения: на сколько глубока кроличья нора
Денис Валяев
Team Lead
АО «Центральный депозитарий ценных бумаг»
Мы за 9 месяцев разработали систему для торгов ценными бумагами силами команды из 4 человек. Чтобы это стало возможным, мы были вынуждены применять только самые эффективные инструменты, в том числе и в области обеспечения безопасности. Данный доклад - рассказ о нашем пути поиска подходов к обеспечению безопасности своей системы, о том как небольшими ресурсами обеспечить соответствие высоким требованиям, предъявляемым к системам, работающим с деньгами и ценными бумагами.
11:05-11:25
Эволюция инфраструктуры: от Colocation до Managed Kubernetes
Дмитрий Пак
Начальник управления техподдержки ЦОД
АО Казтелепорт
Про переход бизнеса от традиционного управления физическим оборудованием (Colocation) к современным облачным решениям, таким как IaaS и Managed Kubernetes.
11:25-11:55
Кофе-брейк
11:55-13:00
Панельная сессия:
Будущее разработки: как меняются роли Dev, DevOps и AI в создании ПО
  • Ренат Туканов, Chief Technology Officer, Freedom Holding Corp.
  • Фарух Бакиев, Head of DMP (Data management platform), Tele2
  • Никита Баев, Head of Web & Mobile (Development), Bereke Bank
13:00-14:00
Обед
14:00-14:25
Balancing Innovation, Speed and Security with the Evolution of Artificial Intelligence
Soffian Osman
Regional Sales Manager
Sonatype
Balancing innovation, speed, and security in the evolution of artificial intelligence (AI) is crucial for responsible and sustainable progress. AI is advancing rapidly, driving innovations across industries, from governments to finance and autonomous systems. However, this speed of development presents challenges in maintaining security and managing risks.
14:25-14:55
Исправляли и не исправили: как мутируют баги
Татьяна Коршикова
Главный эксперт направления безопасности продуктов.
Freedom Holding Corp. Независимый эксперт
Бывают случаи, когда от возникновения уязвимости мог и должен был подстраховать инструмент или процесс, который был и работал, но что-то пошло не так. И тогда из небольшой уязвимости-гусеницы получается уязвимость-бабочка, которая обходится компании гораздо большим ущербом. Разберем несколько таких историй и поговорим о том, что инструменты, увы, не могут защитить от самого человека.
14:55-15:20
UI тесты в действии: от сценария до стабильного запуска
Темирлан Биржанов
Senior QA Automation Engineer
Независимый эксперт
Поговорим о том, как строятся UI тесты, с какими вызовами сталкивается автоматизация пользовательского интерфейса, и что помогает повысить стабильность. Покажу живую демонстрацию тестов, расскажу про архитектуру, подходы и ошибки, которых стоит избегать.
15:20-15:50
Кофе-брейк
15:50-16:25
AppSec'ов вызывают по второй линии! Или как обеспечить безопасность моделей машинного обучения?
Светлана Газизова
Директор по построению процессов безопасной разработки
Независимый эксперт
Техногенный век. Если не бежать, то технологии обгоняют! Сейчас уже сложно представить себе компанию, которая не задумывается об ускорении и улучшению своих бизнес-процессов с помощью искусственного интеллекта. А те компании, которые уже это делают обращают внимание: ИИ - это теперь новая "форточка" для злоумышленника. Обсудим основные угрозы и риски, с которыми может столкнуться разработчик во время эксплуатации модели машинного обучения и основные алгоритмы защиты от атак и обнаружения уязвимых мест. Подумаем, как сделать защиту моделей постоянной и непрерывной, а также разберем основные угрозы этапа эксплуатации моделей машинного обучения - как на пайплайн разработки, так и специфические для моделей.
16:25-16:50
1С за всех, все на 1С: как не стоит админить бухгалтерию
Адиль Нурманов
Offensive Security Engineer
DataArt
Независимый эксперт
Это история моего первого погружения в мир безопасности 1С. Вместе разберёмся, как устроена работа между клиентом и сервером 1С, чем отличается кодирование от шифрования, и почему эти понятия часто путают. Вы узнаете, как безобидные на первый взгляд функции в 1С могут обернуться серьёзными проблемами — и для бухгалтеров, и для айтишников. Поговорим о нестандартных сценариях использования внешних обработок, и наглядно покажем, как даже простая ошибка в настройке может стать уязвимостью.
16:50-17:10
«Никогда не» или практическая безопасная backend разработка
Константин Мазуров
IT директор
Technodom и Airba
Презентация раскрывает наиболее частые ошибки безопасности, допускаемые Go-разработчиками на уровне бизнес-логики кода.
Материалы основаны на реальных кейсах из нашей практики — то, с чем мы сталкивались в продакшене, на ревью и аудите.
17:10-17:20
Подведение итогов, вручение призов (Пройдет в Security Zone)
Партнеры мероприятия
  • General
  • Gold
  • Gold
  • Silver
  • Silver
  • Silver
  • Silver
  • Silver
  • Silver
  • Bronze
  • Bronze
  • Bronze
Медиа и инфопартнеры мероприятия
Организаторы мероприятия
Как это было
Фото и видеоитоги AppSecFest Almaty 2024
Фото и видеоитоги AppSecFest Almaty 2023
спикеров и партнеров
Мы в активном поиске
Станьте спикером крупнейшей конференции по безопасности приложений!
Стать партнером
Вы можете написать нам на почту appsecfest@astlab.kz
Стать спикером
Заполните простую форму для регистрация
LET'S GO!
© ТОО «AST Cyber Lab» 2025
Стандартный билет
Билет на оффлайн мероприятие
Шоппер
Футболка
Кофе-брейки
Стикер пак
Развлекательные активности
Доступ к докладам
Онлайн
Описание билета