Искусственный интеллект становится неотъемлемой частью разработки программного обеспечения, помогая генерировать код и легко подбирать open-source библиотеки. Но как понять, когда ИИ помогает, а когда создает риски? Какие новые угрозы он приносит в область безопасности приложений, и как с ними справляться?

В рамках этого доклада обсудим, как ИИ уже меняет процесс разработки. Вы узнаете, какие скрытые опасности могут быть связаны с его бездумным внедрением и как новые технологии становятся причиной появления новых видов уязвимостей. Особое внимание будет уделено тому, как ИИ можно использовать с умом, чтобы повысить не только эффективность работы команды, но и уровень безопасности приложений.

Доклад полностью посвящен работе с секретами. Мы узнаем, какие угрозы существуют, рассмотрим атаки на компрометацию секретов, разберемся, от всего ли спасет Vault, затронем вопросы доставки секретов в k8s, узнаем, как дизайн работы с секретами влияет на безопасность приложения.

В контексте безопасной разработки и композиционного анализа рассмотрим базовые правила и принципы работы менеджеров пакетов. Как определяются версии пакетов, которые пойдут в сборку? Насколько разработчик действительно управляет тем, что собирает в продукт? Разберем краевые кейсы для разных экосистем: Maven, PyPI & .... Затронем проблематику точности формирования перечня компонентов для языков C и C++, потому как на Conan переезжают не только лишь все.

Забытые и немониторируемые EC2-инстансы представляют собой одну из наиболее распространенных уязвимостей в облачной инфраструктуре. В данном докладе рассматриваются методы, с помощью которых злоумышленники обнаруживают такие инстансы, используют уязвимости веб-приложений для проникновения, извлекают AWS Access Keys и проводят разведку внутри облачного аккаунта. Особое внимание уделяется OPSEC-методам, позволяющим атакующим оставаться незаметными, а также практическим мерам защиты, которые помогут минимизировать риски компрометации.

Опыт внедрения процессов SSDLC в компании и почему Application Security начинается с документа, а не с покупки SAST.

Почему обычный code review часто превращается в долгий, запутанный и малоэффективный процесс? Как объединить качество кода, безопасность и удобство для команды? Ответы на эти вопросы прозвучат в докладе Дэниела Чернова.
Вас ждет анализ основных проблем code review, от отсутствия стандартов до высокой сложности поиска уязвимостей и излишней траты времени команды. Мы поговорим о том, почему автоматизация процессов так важна, и какой подход лучше всего работает на практике.
Приглашаем всех, кто заботится о безопасности и качестве программного обеспечения, и хочет узнать, как сохранить не только высокие стандарты кода, но и позитивный настрой!

Мы за 9 месяцев разработали систему для торгов ценными бумагами силами команды из 4 человек. Чтобы это стало возможным, мы были вынуждены применять только самые эффективные инструменты, в том числе и в области обеспечения безопасности. Данный доклад - рассказ о нашем пути поиска подходов к обеспечению безопасности своей системы, о том как небольшими ресурсами обеспечить соответствие высоким требованиям, предъявляемым к системам, работающим с деньгами и ценными бумагами.

«Как тушить Java пожары» — доклад о том, как эффективно разбираться в критических инцидентах в продакшене, связанных с Java-приложениями. Разберём реальные кейсы из боевой эксплуатации, когда всё горело, логов не было, а дедлайны поджимали. Обсудим подходы к локализации проблем: профилирование, анализ heap dump и thread dump, поиск узких мест в коде и инфраструктуре. Поговорим о том, как быстро находить корень проблемы и что можно сделать, чтобы не допускать подобных пожаров в будущем.

Техногенный век. Если не бежать, то технологии обгоняют! Сейчас уже сложно представить себе компанию, которая не задумывается об ускорении и улучшению своих бизнес-процессов с помощью искусственного интеллекта. А те компания, которые уже это делают обращают внимание: ИИ - это теперь новая "форточка" для злоумышленника. Обсудим основные угрозы и риски, с котороми может столкнуться разработчик во время эксплуатации модели машинного обучения и основные алгоритмы защиты от атак и обнаружения уязвимых мест. Подумаем, как сделать защиту моделей постоянной и непрерывной и основные угрозы этапа эксплуатации моделей машинного обучения - как на пайплайн разработки, так и специфические для моделей.

Бывают случаи, когда от возникновения уязвимости мог и должен был подстраховать инструмент или процесс, который был и работал, но что-то пошло не так. И тогда из небольшой уязвимости-гусеницы получается уязвимость-бабочка, которая обходится компании гораздо большим ущербом. Разберем несколько таких историй и поговорим о том, что инструменты, увы, не могут защитить от самого человека.