Профессиональная конференция для Go‑разработчиков

Программировать как хакер, защищать — как программист

Безопасность

Архитектурные паттерны
Стандарты кодирования
Методы и техника разработки ПО
Безопасность программного кода, SQL и прочие инъекции
Безопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Статический анализ уже стал де-факто стандартом при анализе кода, однако и он обладает своими ограничениями. Из доклада вы узнаете об особенностях работы статических анализаторов, конструкциях кода, вызывающих наибольшие сложности, и о возможности их избежать.

Целевая аудитория

Разработчики.

Тезисы

Атакуя приложение, хакер держит в голове некоторую его модель, меняющуюся по ходу проверки гипотез и включающую в себя критичные точки выполнения, способы воздействия на них и ожидаемую реакцию приложения. Дерево атак, реализуемых хакером, является набором достижимых путей в такой модели. Функциональность вторична для хакера, он мыслит «вне коробки» приложения и свою модель строит, исходя из необходимой ему «функциональности», которая позволит провести эффективную атаку.

Разрабатывая приложение, программист тоже держит в голове его модель, но несколько иную, обусловленную реализуемой архитектурой и направленную на реализацию необходимых фич. Каждая фича, реализуемая программистом, является набором юзкейсов, представляющих собой достижимые пути в его модели, которую он строит, исходя из функциональных требований, ограничивающих его определёнными рамками.

Обе модели формируют майндсеты — образы мышления и набор техник, используемых для реализации задуманного. Но что, если, вывернув это наизнанку, программист возьмёт на вооружение майндсет хакера для реализации основной функциональности, а к защите приложения подойдёт с привычной ему стороны фич и юзкейсов?

Доклад посвящён тому, как взять лучшее из обоих подходов для разработки «hackerproof»-приложений.

Владимир Кочетков

Positive Tecnhologies

Эксперт по безопасности приложений, занимается этой областью уже свыше 15 лет. Руководит направлением экспертизы безопасности приложений в Positive Technologies. Лидер сообщества безопасной разработки POSIdev.

Positive Tecnhologies

Positive Technologies создаёт продукты в области кибербезопасности. Уже 20 лет основная задача компании — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Продукты и сервисы Positive Technologies используют более 2300 компаний по всему миру.

Видео

Другие доклады секции

Безопасность