A működő biztonság a fejlesztéssel kezdődik

forrás: Prím Online, 2016. november 15. 08:53

A szoftverek biztonsága mára kiemelt fontossággal bír az informatikai biztonság területén. 

A hackerek már leginkább azokat a réseket támadják, amelyek a szoftverekben hagyott hibákból származnak. Emiatt valódi biztonságot a fejlesztési folyamatba illesztett biztonsági ellenőrzés eredményez. A biztonsági minőség javításához azonban szemléletváltásra van szükség, amibe a fejlesztők folyamatos képzése is beletartozik. A def[dev]eu rendezvénysorozat első, budapesti állomásán neves külföldi szakemberek adják át tudásukat a hazai fejlesztőknek és fejlesztési szakembereknek.

 

A 2010-es éveket megelőzően a biztonsági szakemberek elsősorban a határvédelemre koncentráltak, a hackerek közben az alkalmazások hibái felé fordultak. Korábban a támadók a hálózat hibáit használták ki, hogy bejuthassanak a rendszerekbe és azokkal visszaélhessenek, manapság azonban sokkal inkább az internetre kapcsolódó alkalmazásokban található réseket használják fel a támadásokhoz. Részben ennek volt köszönhető, hogy az elmúlt években a figyelem egyre inkább a preventív alkalmazásbiztonság felé irányult. A hibák rosszindulatú kihasználására jelenthet megoldást a fejlesztés folyamata alatt elvégzett biztonsági ellenőrzés és a módszeresen alkalmazott biztonsági tudás.

 

Ehhez a stratégiához szeretne segítséget nyújtani a def[dev]eu elnevezésű rendezvénysorozat, amely elismert szakértők segítségével oktatja az alkalmazásbiztonság újdonságait, a biztonságos fejlesztést helyezve a középpontba. A konferencia első két napja leginkább a fejlesztő szakembereknek szól. Az első napon meglapozható a következő szakmai naphoz szükséges szakmai tudás, így a két napon egy komplett secure coding kurzust kínál a defdev. A rendezvény harmadik napján az S-SDLC lesz a főszereplő. Az előadások ekkor már nem a fejlesztőket, hanem inkább a fejlesztési életciklus többi szereplőjét, a managementet és az operációs szakértőket célozza. 

 

Az S-SDLC (Secure SDLC), a magyarul szoftver életciklusnak nevezett szoftvertervezési, gyártási és támogatási folyamat olyan adaléka, amely a támadásoknak jobban ellenálló szoftvert eredményez. Tágabban S-SDLC-ről beszélünk, ha a fejlesztés alatt az egész életciklust értjük, szűkebb értelemben pedig a secure development a fejlesztés alatti biztonságos kódolást jelenti. 

 

A jó kódolási praktikák nem elégségesek a hatékony védelemhez. Nem lesz jó biztonsági fejlesztő az a csapat, amely nem kap megfelelő oktatást. Nem lesz biztonságos az a kód, amelynek tervezésekor nem volt jelen biztonsági szakértő, és végül minden alkalmazás feltörhető, akármennyire is odafigyelnek a fejlesztők, mert ott vannak a háttérben a nem frissített, és ezért sérülékeny futtató környezetek vagy könyvtárak.

 

Az esemény előadói

A tavalyi Hacktivity OWASP trackjének két főszereplője, Jim Manico és Glenn ten Cate az idén egy saját tréning konferenciával térnek vissza Budapestre. A 2015-ös konferencián Glenn ten Cate az OWASP Security Knowledge Framework-jéről, Jim Manico pedig az OAuth-ról beszélt egy magyar közmondást is felhasználva: Addig nyújtózkodj, amíg a takaród ér! A két előadó a biztonságos fejlesztés (secure coding and development) területén a legismertebb nevek közé tartozik.

 

Jim Manico a Manicode Security alapítója Hawaiiról érkezik. Az Egyesült Államokban rendszeresen tart tréningeket szoftverfejlesztőknek a biztonságos fejlesztésről. A téma szakértőjének számít, gyakran szólal fel ebben a kérdéskörben, emellett az OWASP egyik legaktívabb tagja, régebben vezető tisztségviselője.

 

Glenn ten Cate több mint 10 év tapasztalattal rendelkezik a biztonság területén, mint fejlesztő, hacker, tesztelő, tanácsadó és biztonsági kutató. A Schuberg Philis biztonsági mérnöke Hollandiában, emellett több biztonsági konferencia előadójaként tartják számon. A célja, hogy létrehozzon egy nyílt forráskódú szoftverfejlesztési ciklust azokkal az eszközökkel és tudással, amit az évek alatt összegyűjtött.

 

 

Az esemény részletei

A def[dev]eu rendezvénysorozat meghatározása eredetiben így szól: "defensive development [defdev] trainings and conference series is dedicated to helping developers and other professionals involved in the S-SDLC build and maintain secure software". A defdev több európai helyszínen is megrendezésre kerül majd, Budapest azonban az első állomás, mivel a projekt ötlete itt született. A budapesti szakmai továbbképzés 3 napja két blokkra bontható: az első két nap a fejlesztőké, a harmadik az operációs szakértőket és a managementet célozza. 

Bővebb információ az eseményről itt található.