だから、PDUG Picnic 2016-余暇に自分が書いたコードが安全かどうか真剣に考える開発者のための非公式の集まりです。
PDUGコミュニティ:作成から現在まで
5月に開催したポジティブ開発ユーザーグループの最初の会議:既にイベントで盛り上がっているPHDays VIプラットフォームは、参加者の一時的な住まいとなりました。 基礎は、ハッキングとアプリケーション保護に関するTimur YunusovとVladimir Kochetkov(@ VladimirKochetkov )による2日間のセミナーで、2015年の秋にオフィスで開催されました。 Volodya Kochetkovは、安全なアプリケーションの設計と開発について話し、プログラムを最適化しました。これも大成功を収め、レシャゴンチャロフの異常なプログラミングに関するタスクを支援しました。 聴衆は感謝していました。多くの質問、議論、そして論争さえありました。それは再びこのトピックに興味があることを証明し、それは注目に値しました。
このように、安全な開発のトピックに関するオープンなコミュニティを集めるという考えは現実のものになりました。
PDUG Picnicがバトンを獲得しました。117人の参加者、4つのレポート、数え切れないほどの質問、食べ物とビール-非常に乾燥した統計でさえも勇気づけられるようです。 確かに、悪役の運命の干渉がなかったわけではありませんでした。最初は5件のレポートが計画されていましたが、スピーチの1日前に、Volodya Kochetkovは声を失い、会議の最後に聴衆からの質問に答えることができました。 それにもかかわらず、不可抗力は条件付きで無痛であることが判明しました。残りのスピーカーは追加の時間を受け取りました。
15:30までに同僚を集めて、大きなリスクを冒しました。多くの人にとって、勤務時間中にオフィスを出るのはそれほど簡単ではなかったでしょう。 しかし、不安は実現しませんでした。即席の受付で、指定された時間よりもずっと前に、攪拌がありました。無私のオーガナイザーはバッジを配る時間はほとんどありませんでした。 ゲストは非常に異なっていました。銀行、政府機関、ソフトウェアの作成に特化した企業の開発者、情報セキュリティの専門家でさえも一緒に集まりました。 一言で言えば、党は多面的であることが判明した。
特に嬉しかったのは、 PHDaysで何とか出会った多くの馴染みのある顔でした 。 私たちの友人の数は増えるだけだと信じたい。
ヨーロッパ全域のギャロッピング
スケジュールは厳しかったです。すでに始まったように、みんなはなんとか挨拶して噛むだけでした。 Rami Muleis(@ rami0 )、アプリケーションインスペクタープロモーションマネージャー兼パートタイムモデレーターは、「今日ここに集まったのはすごいこと」だけでなく、コミュニティの焼きたてのシンボル(マダガスカルの腕首ah-ah、自然)を紹介しました屋根の上の巨大なPDUGフラグでカラフルな人相が1日中揺れ動く脆弱性検索の専門家。
しかし、言葉から彼らはすぐにビジネスに取りかかりました。 公式プログラムのテクニカルマラソンは、「力の暗黒面」の条件付き代表であるティムールユヌソフ (@ YunusovTimur )によって開かれました:潜在的なクラッカーの観点からアプリケーションセキュリティを検討する際 、彼は開発者が通常犯す間違いとハッカーがコードでそのような「穴」を使用する方法について話しました。
しかし、ピクニックではハッカーの専制に対処する基本的な方法がまだ見つかりました-Valera Boroninはこれを引き受け、安全開発プロセス(SSDL)が何であるかについて話し、それを構築する際の利益と落とし穴について話しました(このテーマについて) Valeraレビュープレゼンテーション )、およびPT Application Inspectorを使用した静的コード分析の例では、開発者にとって最も自然な方法で安全な開発の要素を日常生活に統合する方法を示しました。
彼はこれをGitHubのプロジェクトに接続し、愛するVisual Studioのままで、その中の脆弱性を見つけて問題を修正しました。 マシン自体は、Valeraが彼のコミットについて考えることを促しました-ソースで直接彼と通信します。 これが私たちの方法です!
3番目の報告書により近い、焼け付く太陽はついに減少し始めましたが、技術的な学位は決してありません。 PT AIのコード分析は、議論のためのトピックが豊富であることが判明しました:プログラムの転換は、Vanya Kochurkin(@ KvanTTT )に到達しました。VanyaKochurkinは、5月のHabréの記事に基づいてプレゼンテーションを行い、コードの署名分析のプロセスでのテンプレートの使用とパターンの可能性について話しましたマッチング。
最後のスピーカーの役割は、 Lesha Goncharovが担当しました。LeshaGoncharovは、会議の最後に、Positiveが開発した無料のユーティリティApproofを同僚に紹介し、脆弱なアプリケーションコンポーネント(開発中のものと既に機能しているもの)、構成エラー、および機密データを特定しました。
おそらく、誰かがApproofがすでに"Habr"でちらついていることを覚えているでしょう。 そのため、開発を停止するだけでなく、ピクニックで指紋コアの新しいルールを作成するためのコンテストを開始しました。 ところで、最も珍しいルールと送信されたルールの最大数のために、まだブランドPDUG Tシャツに参加して勝つ機会があります。 特にこのために、別のリポジトリを作成しました。あなたが突然チャレンジに興味を持っている場合-プルリクエストを送ってください、私たちはどんなアイデアにも喜んでいます。
プログラムの公式部分が終了し、ビールとピザが使用される頃には、すでに暗くなっていました。 急いで解散する人はいませんでした-議論するトピックがあり、多くの質問が残っていました。おそらく、会議の前よりもさらに多くの質問がありました。 それにもかかわらず、次の一歩が踏み出され、「削りくず」がトピックから削除されました-そして、コミュニティをさらに発展させるために、さらに骨の折れる作業の時が来ました。
それから何?
「開発者、アーキテクト、アナリスト、テスター、ラインマネージャー、情報セキュリティスペシャリストを、安全なアプリケーション開発の分野でこれらのスペシャリストの能力を高めることを目標とする単一のコミュニティにまとめたいと考えています」とPositive Technologiesの製品マーケティング責任者と「最高のオーガナイザー」イベントマーシャ・ラトシン。 「当社の専門家は最初の集会で話をしましたが、将来的には間違いなく他のIT企業のスピーカーを呼びます。」
巨大な計画。 秋には、その種の多くの最初のものである新鮮なmitapをかき立て、一連のテーマのウェビナーを開始します。 さらに、ピクニックの結果、 Facebookでグループを編成しました 。そこでは、資料をゆっくり共有しています(たとえば、 写真レポートは既に利用可能です)。その後、今後の会議やその他の興味深いことの発表を開始します。 ようこそ、ところで。
PDUGはオープンコミュニティであり、私たちは誰もが自分の経験を共有する機会を持つプラットフォームの作成に努めています。 あなた自身が安全な開発のトピックを何らかの方法で前進させたい場合、関連する興味深い経験があり、貯金箱にはクールなケース、人生のヒント、その他あらゆる種類の便利なものがあります-pdug@ptsecurity.comでノックしてください。 サイトに関する提案、新しいクールなレポートのアイデア、またはクールなレポート自体とスピーカー(バッチ処理用)です。 一緒に安全に開発しましょう!