Расписание

Говорим о расписании, сессиях и активностях. Подключайтесь, чтобы узнать, что вас будет ждать в эфире в ближайшее время!

Не очевидно, но факт, что токен авторизации может быть перехвачен, может утекать на сторону и может быть использован злоумышленником в своих корыстных целях. Расскажем, как не допустить утечек данных авторизации и как выявлять такие уязвимости.

Рассмотрим использование libFuzzer для фаззинга драйверов микроядерной ОС. Предлагаемые решения могут быть полезными для фаззинг-тестирования различных программ.

Проверки на безопасность — частая помеха в процессе разработки ПО. Оркестрация AppSec инструментов с использованием Kubernetes-оператора, в совокупности с shift-left подходом, позволит эффективно решить эту проблему.

Денис — независимый эксперт по информационной безопасности, ex-технический директор МТС и новый участник Программного комитета SafeCode 2024 Autumn. Поговорим о том, как для Дениса прошел первый сезон, и обсудим набор программы.

Хотите узнать, как остановить атаки на контейнерные приложения? Смотрите видео, в котором наглядно демонстрируем, как минимизировать поверхность атаки до ее возникновения и заблокировать саму атаку, а не приложение.

Если вам нужно проанализировать сложное приложение, но вы не знаете, с какой стороны к нему подступиться и времени разбираться в исходниках у вас нет, то это видео — для вас. Простым и понятным языком расскажу, как использовать Natch, чтобы обнаружить потенциально уязвимые места ПО и максимально сузить область исследования.

Чтобы обеспечить безопасность продукта, важно понимать и правильно выбирать способы обеспечения безопасности, в том числе с помощью криптографических средств. Поговорим о том, в каких кейсах важна криптография и как проверить себя при ее использовании.

На воркшопе покажем цепочку процессов от выбора качественного базового образа на рынке при готовке Dockerfile, до подачи контейнера сервированным, которая в итоге поможет получить полезный и безопасный образ. У вас появится представление о том, какие инструменты помогут в приготовлении и на какие нюансы стоит обратить внимание.

Доклад исследует эволюцию методов защиты от бинарных уязвимостей — от ранних подходов до современных технологий, таких как Control Flow Integrity и ARMv8 Memory Tagging Extension. Рассмотрим практические примеры атак и защиты, а также перспективы развития в области безопасности программного обеспечения.

Никита — full time open source-разработчик и мейнтейнер проекта СPython. В интервью обсудим: профессиональный путь Никиты: с чего начинал, какие языки и технологии использует; как совмещать участие в open source-проектах, основную работу и личную жизнь; подходы к оценке фич, которые разработчики предлагают добавить в Python, и распределение задач; споры при разработке новой фичи и как их «разруливать»; фичи, которых, по мнению Никиты, не хватает в Python; определение стратегии развития Python и создание стандартов языка; вопросы безопасности Python и open-source проектов в целом. OSS-Fuzz от Google и Bug Bounty от HackerOne.

PVS-Studio — статический анализатор кода для поиска ошибок и потенциальных уязвимостей в коде программ, написанных на языках C, C++, C#, Java. В видео расскажу подробнее о работе плагина PVS-Studio для среды разработки Microsoft Visual Studio и пройду весь путь работы анализатора от его установки до работы с предупреждениями.

Из видеоролика вы узнаете, как Luntry может помочь разработчикам, QA-специалистам, системным аналитикам, Ops/DevOps/DevSecOps, командам ИБ и SOC строить и поддерживать надежную и безопасную инфраструктуру.

Разберем кейсы из Bug Bounty — от критичных до низких проблем безопасности. Обсудим, какие из них могли найти правила SAST, а какие — автотесты.

Рассмотрю ключевые изменения в оценке рисков, связанных с внедрением генеративного ИИ, включая фреймворки CyberSec Eval и OWASP Top 10 LLM v2.

Обсудим перспективы развития кибербезопасности и новые угрозы. Отметим, как на это влияет безопасный и небезопасный код.

В этом видео разберем основные цели тестирования WAF, включая выявление уязвимостей и оценку эффективности защиты. Вы узнаете о типичных ошибках, с которыми сталкиваются при тестировании WAF, а также о том, как их избежать.

Чтобы искать ошибки в коде, статическим анализаторам необходимо решать неразрешимые задачи. Это невозможно, но что делать, если очень хочется?

Как хакеры вживую ломают ресурсы? На этот вопрос ответим на мастер-классе. Возьмем живой сайт и попробуем найти как можно больше уязвимостей. В процессе буду рассказывать про инструменты и способы, используемые для взлома сайта конференции.

Автоматизированный сбор и анализ Software Bill of Behavior (SBOB) позволяет обнаруживать вредоносное поведение / НДВ в зависимостях JS-проекта и выпускать приложения Secure by Design в рамках подхода Frontend Application Security Testing (FAST).

Подводим итоги, вспоминаем яркие моменты и рассказываем о дальнейших планах. Подключайтесь к трансляции, чтобы ничего не пропустить!