В Москве прошёл второй Квартирник по безопасной разработке
3 мин
34
1
Компания УЦСБ провела в Москве второй Квартирник по безопасной разработке (первый состоялся в 2025 году в Екатеринбурге). Мероприятие собрало около 200 айтишников. Стратегическим партнёром мероприятия выступила ГК «Солар». На Квартирнике присутствовал корреспондент издания «Киберболоид».
Главным событием стала «диванная» дискуссия о DevSecOps в 2026 году. В ней участвовали эксперты из разных сфер: Евгений Тодышев из УЦСБ, Дмитрий Пономарёв из НТЦ «Фобос-НТ» и ИСП РАН, Андрей Лагоденко из «Дом.Клик», Вячеслав Касимов из «Точка Банк» и Сергей Деев из ИСП РАН. Они обсудили, как за год изменились подходы к безопасной разработке и какие угрозы стали реальностью. Модератором выступил Всеслав Соленик из «СберТеха».
Участники отметили: главная боль команд — найти баланс между скоростью релизов и требованиями безопасности. Иногда бизнес-потребность перевешивает потенциальные уязвимости. В таких случаях команды готовы выпустить релиз с открытым риском, но с чётким обязательством устранить технический долг позже. Альтернативный путь — выстраивание коммуникации с внутренним заказчиком через роль product security, которая переводит технические риски на язык бизнеса, чтобы все понимали, о чём идёт речь.
Отдельно обсудили сертификацию по стандартам ФСТЭК России. Эксперты назвали её быстро набирающим вес инструментом.
Сертификация уже даёт конкурентное преимущество в тендерах. Участники особо подчеркнули, что практиками сертификации нужно заниматься независимо от текущей потребности в самом сертификате. Они служат ориентиром на рост безопасной разработки в целом.
В технической части программы эксперты выступили с докладами о наиболее актуальных темах в безопасной разработке. Антон Прокофьев из Solar appScreener разобрал, где заканчивается эффективность автоматизации и начинается опасность при использовании искусственного интеллекта. Алексей Смирнов из CodeScoring предложил комплексный подход к контролю безопасности Open Source, который снижает нагрузку на команды на всех этапах — от IDE до продуктивной среды.
Денис Макрушин из «Яндекса» на реальных кейсах показал, как большие языковые модели расширяют поверхность атаки. Спикер предостерёг, что языковые модели — это руль, который добавили к программному обеспечению, но им при должной сноровке могут управлять хакеры. Леонид Плетнёв из «1С-Битрикс» сфокусировался на экономике безопасной разработки. Он объяснил, как инвестиции в культуру разработки безопасного ПО помогают бизнесу не только снижать риски, но и экономить деньги. Евгений Тодышев из УЦСБ представил авторскую методику аудита цепочек поставок программного обеспечения, которая основана на численных метриках и вовлечении бизнеса в оценку активов, а не на субъективных предпочтениях.
Параллельно с деловой программой на Квартирнике работала выставочная зона. Компании продемонстрировали инструменты для ускорения и повышения качества безопасной разработки. Свои стенды и доклады подготовили ГК «Солар», Luntry и Hexway, УЦСБ, Security Vision, AppSec Solutions, CodeScoring, СберТех, Deckhouse и SASTAV.
