До конференции осталось — :::
09.06.2021

Доклады Defensive Track. Часть 1

Доклады секции Defensive Track посвящены темам безопасной разработки, DevSecOps, обнаружения инцидентов, практическим моментам организации безопасности в компании. 

Знакомим вас с первой частью докладов Defensive Track.

Формальной верификации обзорчик: безопасная разработка за пределами рандомизированных тестов 

Что поделать, чтобы писать безопасный софт помимо code review и серьезнейшего тестирования? Писать меньше кода и больше теорем! Посмотрим, как HTTPS сейчас защищают на уровне реализации. Все знают, что понять код, который не влезает в один экран сложно. Какое решение? Ограничить семантику для лучшей композиции; дать пользователям волшебство дешевого моделирования; выкрутить статический и динамический анализ до 11. 

Этот доклад от Дмитрия Волкова — ураганный пробег по стэйт-оф-зэ-арт в формальной верификации, с кейсами верифицированной ОС (CertiKOS), HTTPS-компонентов, на которых работает большая часть веб (Project Everest), и ядра Linux (linux.git/*.tla; модели блокировок). Зачем? Чтобы мы писали лучший код, разумеется. С благодатию Computer Science.

Побег из контейнера: Kubernetes

Уязвимости побега из контейнера, как, например, побег из песочницы в браузерах или побег из виртуальной машины, находятся во главе списка уязвимостей, которые хотят найти исследователи. И все же исследование контейнеров вне контекста их среды/инфраструктуры представляется непрактичным. В этом докладе Дмитрий Евдокимов расскажет о Cloud-Native приложениях и о том, насколько просто совершить побег из контейнера в Kubernetes с учетом его специфики.

CVEhound: проверка исходников Linux на известные CVE 

CVEhound — это инструмент для проверки дампов исходников ядра Linux на наличие известных CVE. Он позволяет проводить аудит телефонов, роутеров, серверов и прочего на отсутствующие исправления от основных разработчиков ядра. В этом докладе Денис Ефремов кратко расскажет о процессе исправления CVE в ядре Linux и продемонстрирует инструмент CVEhound.

Опыт внедрения статического анализа в большой организации

Разработчики Яндекса могут похвастаться зоопарком VCS и CI/CD систем, а служба информационной безопасности — целым арсеналом секьюрити тулов, количество которых давно перевалило за десяток. Для статического анализа есть коммерческие, open source и собственные инструменты. При этом отсутствие единой точки входа для запуска приводило к тому, что у инструментов было плохое покрытие, высокий false positive rate и низкий bus factor. Чтобы решить эти проблемы был разработан оркестратор imPulse, задачей которого стала унификация процессов запуска анализаторов, обработки отчетов и триажа получившихся срабатываний. imPulse поддерживает как классический сценарий запуска сканирования по расписанию, так и сценарии запуска по заявке на аудит безопасности и внутри CI/CD систем.

Появление единого интерфейса для работы с инструментами статического анализа позволяет находить схожие проблемы и специфичные для Яндекса уязвимости на всей кодовой базе. Для решения этой задачи в первую очередь используются анализаторы Semgrep и CodeQL. В ходе доклада Алексей Мещеряков, Александр Каледа и Евгений Проценко расскажут, где берут идеи для кастомных правил и с какими сложностями сталкиваются.

Поделиться
Другие новости
23.03.2021
Конференция ZeroNights открыта к сотрудничеству
23.04.2021
Возвращение воркшопов на ZeroNights
15.05.2021
Ждем ваши заявки на доклад до 31 мая
Наверх