Szerver/Üzlet
Sulaki - 2016-11-15
def[dev]eu – Budapest lesz az európai rendezvénysorozat első állomása
A
A 2010-es éveket megelőzően a biztonsági szakemberek elsősorban a határvédelemre koncentráltak, a hackerek közben az alkalmazások hibái felé fordultak. Korábban a támadók a hálózat hibáit használták ki, hogy bejuthassanak a rendszerekbe és azokkal visszaélhessenek, manapság azonban sokkal inkább az internetre kapcsolódó alkalmazásokban található réseket használják fel a támadásokhoz. Részben ennek volt köszönhető, hogy az elmúlt években a figyelem egyre inkább a preventív alkalmazásbiztonság felé irányult. A hibák rosszindulatú kihasználására jelenthet megoldást a fejlesztés folyamata alatt elvégzett biztonsági ellenőrzés és a módszeresen alkalmazott biztonsági tudás.
Ehhez a stratégiához szeretne segítséget nyújtani a def[dev]eu elnevezésű rendezvénysorozat, amely elismert szakértők segítségével oktatja az alkalmazásbiztonság újdonságait, a biztonságos fejlesztést helyezve a középpontba. A konferencia első két napja leginkább a fejlesztő szakembereknek szól. Az első napon meglapozható a következő szakmai naphoz szükséges szakmai tudás, így a két napon egy komplett secure coding kurzust kínál a defdev. A rendezvény harmadik napján az S-SDLC lesz a főszereplő. Az előadások ekkor már nem a fejlesztőket, hanem inkább a fejlesztési életciklus többi szereplőjét, a managementet és az operációs szakértőket célozza.
Az S-SDLC (Secure SDLC), a magyarul
A jó kódolási praktikák nem elégségesek a hatékony védelemhez. Nem lesz jó biztonsági fejlesztő az a csapat, amely nem kap megfelelő oktatást. Nem lesz biztonságos az a kód, amelynek tervezésekor nem volt jelen biztonsági szakértő, és végül minden alkalmazás feltörhető, akármennyire is odafigyelnek a fejlesztők, mert ott vannak a háttérben a nem frissített, és ezért sérülékeny futtató környezetek vagy könyvtárak.
Az esemény előadói
A tavalyi Hacktivity OWASP trackjének két főszereplője, Jim Manico és Glenn ten Cate az idén egy saját tréning konferenciával térnek vissza Budapestre. A 2015-ös konferencián Glenn ten Cate az OWASP Security Knowledge Framework-jéről, Jim Manico pedig az OAuth-ról beszélt egy magyar közmondást is felhasználva: Addig nyújtózkodj, amíg a takaród ér! A két előadó a biztonságos fejlesztés (secure coding and development) területén a legismertebb nevek közé tartozik.
Jim Manico a Manicode Security alapítója Hawaiiról érkezik. Az Egyesült Államokban rendszeresen tart tréningeket szoftverfejlesztőknek a biztonságos fejlesztésről. A téma szakértőjének számít, gyakran szólal fel ebben a kérdéskörben, emellett az OWASP egyik legaktívabb tagja, régebben vezető tisztségviselője.
Glenn ten Cate több mint 10 év tapasztalattal rendelkezik a biztonság területén, mint fejlesztő, hacker, tesztelő, tanácsadó és biztonsági kutató. A Schuberg Philis biztonsági mérnöke Hollandiában, emellett több biztonsági konferencia előadójaként tartják számon. A célja, hogy létrehozzon egy nyílt forráskódú szoftverfejlesztési ciklust azokkal az eszközökkel és tudással, amit az évek alatt összegyűjtött.
Az esemény részletei
A def[dev]eu rendezvénysorozat meghatározása eredetiben így szól: "defensive development [defdev] trainings and conference series is dedicated to helping developers and other professionals involved in the S-SDLC build and maintain secure software". A defdev több európai helyszínen is megrendezésre kerül majd, Budapest azonban az első állomás, mivel a projekt ötlete itt született. A budapesti szakmai továbbképzés 3 napja két blokkra bontható: az első két nap a fejlesztőké, a harmadik az operációs szakértőket és a managementet célozza.
Bővebb információ az eseményről itt található.
secmachine.net
Az eseményt szervező secmachine.net egy szakmai hálózat fedőneve. A secmachine több alkalmazásbiztonsági szakértőt és műhelyt egy szolgáltatási felület alatt mozgósít, akik, mikor e név alatt dolgoznak, közös elvekhez és formátumokhoz tarják magukat. A tömörülés azt vallja, hogy a biztonsági tesztelés nem mágia, és az ügyfelek számára érthető formátumban kell, hogy történjen. A secmachine névvel nyújtott fejlesztői és S-SDLC oktatások a defenzív, a praktikus és a szervezet orientált jeligéknek igyekeznek megfelelni -- és ezt teljesítendő például egyedi secure development kézikönyvvel, illetve appsec házirenddel is ellátják az ügyfelet. A mobil alkalmazások biztonsági tesztelése területén Európát tekintve talán az egyik vezető műhely kap helyet a brand mögött. A secmachine mögött több olyan szakértő is dolgozik, aki éveket dolgozott a nagyvállalati fejlesztésben, így nem csak a törésben, de a vállalati szoftver konyhában is jártasak.
szoftverek
biztonsága mára kiemelt fontossággal bír az informatikai biztonság területén. A hackerek már leginkább azokat a réseket támadják, amelyek a szoftverekben hagyott hibákból származnak. Emiatt valódi biztonságot a fejlesztési folyamatba illesztett biztonsági ellenőrzés eredményez. A biztonsági minőség javításához azonban szemléletváltásra van szükség, amibe a fejlesztők folyamatos képzése is beletartozik. A def[dev]eu rendezvénysorozat első, budapesti állomásán neves külföldi szakemberek adják át tudásukat a hazai fejlesztőknek és fejlesztési szakembereknek.A 2010-es éveket megelőzően a biztonsági szakemberek elsősorban a határvédelemre koncentráltak, a hackerek közben az alkalmazások hibái felé fordultak. Korábban a támadók a hálózat hibáit használták ki, hogy bejuthassanak a rendszerekbe és azokkal visszaélhessenek, manapság azonban sokkal inkább az internetre kapcsolódó alkalmazásokban található réseket használják fel a támadásokhoz. Részben ennek volt köszönhető, hogy az elmúlt években a figyelem egyre inkább a preventív alkalmazásbiztonság felé irányult. A hibák rosszindulatú kihasználására jelenthet megoldást a fejlesztés folyamata alatt elvégzett biztonsági ellenőrzés és a módszeresen alkalmazott biztonsági tudás.
Ehhez a stratégiához szeretne segítséget nyújtani a def[dev]eu elnevezésű rendezvénysorozat, amely elismert szakértők segítségével oktatja az alkalmazásbiztonság újdonságait, a biztonságos fejlesztést helyezve a középpontba. A konferencia első két napja leginkább a fejlesztő szakembereknek szól. Az első napon meglapozható a következő szakmai naphoz szükséges szakmai tudás, így a két napon egy komplett secure coding kurzust kínál a defdev. A rendezvény harmadik napján az S-SDLC lesz a főszereplő. Az előadások ekkor már nem a fejlesztőket, hanem inkább a fejlesztési életciklus többi szereplőjét, a managementet és az operációs szakértőket célozza.
Az S-SDLC (Secure SDLC), a magyarul
szoftver
életciklusnak nevezett szoftvertervezési, gyártási és támogatási folyamat olyan adaléka, amely a támadásoknak jobban ellenálló szoftvert eredményez. Tágabban S-SDLC-ről beszélünk, ha a fejlesztés alatt az egész életciklust értjük, szűkebb értelemben pedig a secure development a fejlesztés alatti biztonságos kódolást jelenti.A jó kódolási praktikák nem elégségesek a hatékony védelemhez. Nem lesz jó biztonsági fejlesztő az a csapat, amely nem kap megfelelő oktatást. Nem lesz biztonságos az a kód, amelynek tervezésekor nem volt jelen biztonsági szakértő, és végül minden alkalmazás feltörhető, akármennyire is odafigyelnek a fejlesztők, mert ott vannak a háttérben a nem frissített, és ezért sérülékeny futtató környezetek vagy könyvtárak.
Az esemény előadói
A tavalyi Hacktivity OWASP trackjének két főszereplője, Jim Manico és Glenn ten Cate az idén egy saját tréning konferenciával térnek vissza Budapestre. A 2015-ös konferencián Glenn ten Cate az OWASP Security Knowledge Framework-jéről, Jim Manico pedig az OAuth-ról beszélt egy magyar közmondást is felhasználva: Addig nyújtózkodj, amíg a takaród ér! A két előadó a biztonságos fejlesztés (secure coding and development) területén a legismertebb nevek közé tartozik.
Jim Manico a Manicode Security alapítója Hawaiiról érkezik. Az Egyesült Államokban rendszeresen tart tréningeket szoftverfejlesztőknek a biztonságos fejlesztésről. A téma szakértőjének számít, gyakran szólal fel ebben a kérdéskörben, emellett az OWASP egyik legaktívabb tagja, régebben vezető tisztségviselője.
Glenn ten Cate több mint 10 év tapasztalattal rendelkezik a biztonság területén, mint fejlesztő, hacker, tesztelő, tanácsadó és biztonsági kutató. A Schuberg Philis biztonsági mérnöke Hollandiában, emellett több biztonsági konferencia előadójaként tartják számon. A célja, hogy létrehozzon egy nyílt forráskódú szoftverfejlesztési ciklust azokkal az eszközökkel és tudással, amit az évek alatt összegyűjtött.
Az esemény részletei
A def[dev]eu rendezvénysorozat meghatározása eredetiben így szól: "defensive development [defdev] trainings and conference series is dedicated to helping developers and other professionals involved in the S-SDLC build and maintain secure software". A defdev több európai helyszínen is megrendezésre kerül majd, Budapest azonban az első állomás, mivel a projekt ötlete itt született. A budapesti szakmai továbbképzés 3 napja két blokkra bontható: az első két nap a fejlesztőké, a harmadik az operációs szakértőket és a managementet célozza.
Bővebb információ az eseményről itt található.
secmachine.net
Az eseményt szervező secmachine.net egy szakmai hálózat fedőneve. A secmachine több alkalmazásbiztonsági szakértőt és műhelyt egy szolgáltatási felület alatt mozgósít, akik, mikor e név alatt dolgoznak, közös elvekhez és formátumokhoz tarják magukat. A tömörülés azt vallja, hogy a biztonsági tesztelés nem mágia, és az ügyfelek számára érthető formátumban kell, hogy történjen. A secmachine névvel nyújtott fejlesztői és S-SDLC oktatások a defenzív, a praktikus és a szervezet orientált jeligéknek igyekeznek megfelelni -- és ezt teljesítendő például egyedi secure development kézikönyvvel, illetve appsec házirenddel is ellátják az ügyfelet. A mobil alkalmazások biztonsági tesztelése területén Európát tekintve talán az egyik vezető műhely kap helyet a brand mögött. A secmachine mögött több olyan szakértő is dolgozik, aki éveket dolgozott a nagyvállalati fejlesztésben, így nem csak a törésben, de a vállalati szoftver konyhában is jártasak.
