A működő biztonság a fejlesztéssel kezdődik
def[dev]eu – Budapest lesz az európai rendezvénysorozat első állomása
A hackerek már leginkább azokat a réseket támadják, amelyek a szoftverekben hagyott hibákból származnak. Emiatt valódi biztonságot a fejlesztési folyamatba illesztett biztonsági ellenőrzés eredményez. A biztonsági minőség javításához azonban szemléletváltásra van szükség, amibe a fejlesztők folyamatos képzése is beletartozik. A def[dev]eu rendezvénysorozat első, budapesti állomásán neves külföldi szakemberek adják át tudásukat a hazai fejlesztőknek és fejlesztési szakembereknek.
A 2010-es éveket megelőzően a biztonsági szakemberek elsősorban a határvédelemre koncentráltak, a hackerek közben az alkalmazások hibái felé fordultak. Korábban a támadók a hálózat hibáit használták ki, hogy bejuthassanak a rendszerekbe és azokkal visszaélhessenek, manapság azonban sokkal inkább az internetre kapcsolódó alkalmazásokban található réseket használják fel a támadásokhoz. Részben ennek volt köszönhető, hogy az elmúlt években a figyelem egyre inkább a preventív alkalmazásbiztonság felé irányult. A hibák rosszindulatú kihasználására jelenthet megoldást a fejlesztés folyamata alatt elvégzett biztonsági ellenőrzés és a módszeresen alkalmazott biztonsági tudás.
Ehhez a stratégiához szeretne segítséget nyújtani a def[dev]eu elnevezésű rendezvénysorozat, amely elismert szakértők segítségével oktatja az alkalmazásbiztonság újdonságait, a biztonságos fejlesztést helyezve a középpontba. A konferencia első két napja leginkább a fejlesztő szakembereknek szól. Az első napon meglapozható a következő szakmai naphoz szükséges szakmai tudás, így a két napon egy komplett secure coding kurzust kínál a defdev. A rendezvény harmadik napján az S-SDLC lesz a főszereplő. Az előadások ekkor már nem a fejlesztőket, hanem inkább a fejlesztési életciklus többi szereplőjét, a managementet és az operációs szakértőket célozza.
Az S-SDLC (Secure SDLC), a magyarul szoftver életciklusnak nevezett szoftvertervezési, gyártási és támogatási folyamat olyan adaléka, amely a támadásoknak jobban ellenálló szoftvert eredményez. Tágabban S-SDLC-ről beszélünk, ha a fejlesztés alatt az egész életciklust értjük, szűkebb értelemben pedig a secure development a fejlesztés alatti biztonságos kódolást jelenti.
A jó kódolási praktikák nem elégségesek a hatékony védelemhez. Nem lesz jó biztonsági fejlesztő az a csapat, amely nem kap megfelelő oktatást. Nem lesz biztonságos az a kód, amelynek tervezésekor nem volt jelen biztonsági szakértő, és végül minden alkalmazás feltörhető, akármennyire is odafigyelnek a fejlesztők, mert ott vannak a háttérben a nem frissített, és ezért sérülékeny futtató környezetek vagy könyvtárak.
Az esemény előadói
A tavalyi Hacktivity OWASP trackjének két főszereplője, Jim Manico és Glenn ten Cate az idén egy saját tréning konferenciával térnek vissza Budapestre. A 2015-ös konferencián Glenn ten Cate az OWASP Security Knowledge Framework-jéről, Jim Manico pedig az OAuth-ról beszélt egy magyar közmondást is felhasználva: Addig nyújtózkodj, amíg a takaród ér! A két előadó a biztonságos fejlesztés (secure coding and development) területén a legismertebb nevek közé tartozik.
Jim Manico a Manicode Security alapítója Hawaiiról érkezik. Az Egyesült Államokban rendszeresen tart tréningeket szoftverfejlesztőknek a biztonságos fejlesztésről. A téma szakértőjének számít, gyakran szólal fel ebben a kérdéskörben, emellett az OWASP egyik legaktívabb tagja, régebben vezető tisztségviselője.
Glenn ten Cate több mint 10 év tapasztalattal rendelkezik a biztonság területén, mint fejlesztő, hacker, tesztelő, tanácsadó és biztonsági kutató. A Schuberg Philis biztonsági mérnöke Hollandiában, emellett több biztonsági konferencia előadójaként tartják számon. A célja, hogy létrehozzon egy nyílt forráskódú szoftverfejlesztési ciklust azokkal az eszközökkel és tudással, amit az évek alatt összegyűjtött.
Az esemény részletei
A def[dev]eu rendezvénysorozat meghatározása eredetiben így szól: "defensive development [defdev] trainings and conference series is dedicated to helping developers and other professionals involved in the S-SDLC build and maintain secure software". A defdev több európai helyszínen is megrendezésre kerül majd, Budapest azonban az első állomás, mivel a projekt ötlete itt született. A budapesti szakmai továbbképzés 3 napja két blokkra bontható: az első két nap a fejlesztőké, a harmadik az operációs szakértőket és a managementet célozza.
Bővebb információ az eseményről itt található.
Kapcsolódó cikkek
- Jövő héten Hacktivity
- Az apák kulcsfontosságú szerepet töltenek be a gyerekek digitális életében
- Inercept X, avagy a végpontoknak is lehet golyóálló mellénye
- Trójai háború - A havi víruslistán tízből kilenc kártevő trójai program
- Milliárdokat utalnak át kiberbűnzőknek tudtukon kívül pénzügyi vezetők
- Proaktív védelemmel a túlélésért
- Megújult az ESET otthoni termékportfóliója
- Tartunk a lopástól, de kevésbé vigyázunk adatainkra, mint az európai átlag
- Gépi tanulásra épülő védelem a Trend Micro új végpontbiztonsági megoldásában
- Trend Micro az ITBN-en: csodát ígérő megoldások helyett vissza az alapokhoz!
Biztonság ROVAT TOVÁBBI HÍREI
Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz
Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére.