Как разрабатывать безопасное ПО и не вылететь в трубу. Андрей Бешков, DNT

Андрей Бешков Работает в сфере ИТ с середины 90-х. До прихода в Microsoft занимался построением инфраструктуры, ЦОД и внедрением OSS/BSS систем в крупнейших компаниях России, таких как Мегафон, Связьинвест, Росатом, Почта России. В Microsoft отвечал за работу программ информационной безопасности в странах Центральной и Восточной Европы. Сейчас возглавляет компанию DNT занимающиюся разработкой бизнес ПО для крупных Российских компаний Кроме этого консультирует и помогает внедрять системы безопасности, виртуализации, технологии облачных вычислений в ВымпелКоме, Сбербанке и многих других. Доклад: Как разрабатывать безопасное ПО и не вылететь в трубу Описание доклада: В последние несколько лет безопасность разрабатываемого кода становится все важнее. Со страниц прессы не сходят сообщения об очередном взломе, утечке, воровстве данных или прерывании сервиса из за того что злоумышленники нашли уязвимости в том или ином широко распространённом программном обеспечении. Гранды ИТ вроде Cisco, EMC, Microsoft, Red Hat уже много лет применяют методы Secure Development Lifecycle (SDLC) для снижения количества уязвимостей и дефектов в коде. Мы небольшая команда из 40 разработчиков которая создает бизнес приложения для энтерпрайз заказчиков заботящихся о безопасности. Мы слыхали, что SDLC требует очень много процедур и еще больше труда. Как сделать так, чтобы кафтан снятый с больших парней подошел нам? В этом выступлении я расскажу как мы применяли SDLC как адаптировали его к Agile, какие шишки набили, какие части методологии нам удалось упростить. Так же поговорим о том как выбирать инструменты упрощающие внедрение и автоматическое использование SDLC. Обсудим неочевидные вещи такие как насколько много тестов надо делать, как часто, как воспитывать своих или где брать сотрудников способных возглавить и поддерживать обеспечение безопасности продуктов с помощью SDLC?