Сломай, чтобы починить: Secure Development Lifecycle (SDL) для Go

Мастер-класс

Application security

Атаки

Безопасность

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Go-разработчики уровня middle-senior, которые пишут продакшен-сервисы и попадают в одну из двух групп: 1. SDL отсутствует/для галочки. 2. Понимают, зачем им безопасность, но не знают, c чего начать.

Тезисы

Go даёт вам безопасность памяти, детектор гонок и одну из лучших в индустрии защиту цепочек поставок. Но модуль с опечаткой (тайпсквоттер) прожил в Go Module Mirror три года. Один запуск goimports подменил crypto/rand на math/rand в rclone - и каждый пароль стал предсказуемым. Компилятор не жаловался.

На этом воркшопе вам предстоит сломать Go-микросервис без единой практики безопасности - раунд за раундом, слой SDL за слоем. Инъекции, гонки, отравленные зависимости, утечка секретов в образе. Каждую уязвимость вы сначала эксплуатируете, потом чините. К концу - у вас понимание, как встроить SDL в CI/CD-пайплайы и тестовая уязвимая кодовая база для обучения команды. Опыт в безопасности не нужен. Нужен ноутбук с Go 1.22+, Docker и готовность увидеть, что же компилятор не проверяет.

Данила Артамонов

Лаборатория Касперского

Go-разработчик с 5-летним опытом, прошел путь от хакатонов до нагруженных b2b систем.
Преподаю community курсы по Go для студентов в МИСИС.
Сейчас фокусируюсь на создании безопасных backend-систем.