Backend United #6: Табаско — разработчики о безопасности

25 июня в 18:00 по Москве пройдёт шестой митап в серии Backend United под кодовым названием «Табаско». Тема митапа — безопасность. Будем говорить об обнаружении и предотвращении ошибок при написании и эксплуатации кода, которые могут привести к проблемам с секьюрностью.

ИТ и интернет


Традиционно для Backend United речь пойдёт о технологиях и подходах, не завязанных на конкретный язык программирования. 

Доклады

Как мы (и нас) сами себя взламываем: безопасность глазами разработчика — Денис Юрьев, Skyeng    

Проблемы взлома и уязвимости сайтов никуда не делись в 2020-м. На примере текущих и прошлых проектов я покажу многие вещи, которые вы можете обнаружить и, надеюсь, успеть поправить — от неправильной настройки заголовков NGINX и XSS до DDoS и перебора паролей. 

Заодно вы узнаете:

  • Решают ли фреймворки проблему безопасности? Спойлер: нет.
  • Как не доверять фронтенду.
  • Как прокачаться в вопросах безопасности.

О спикере: Я тимлид, а ранее — бэкенд-разработчик в Skyeng Math. Работаю удаленно из Новосибирска. В разработке с 2012 года. Интересуюсь лучшими практиками CI/CD, тестирования и безопасности.

 

Single quote injection to find them all — Александр Трифанов, Авито

Скажите, а вы пишете логи об ошибках? А как часто их потом читаете? Рассказываем о нашем опыте обнаружения атак на базы данных в реальном времени по ошибкам в Sentry. Спойлер: всех убил апостроф.

О спикере: Замкадыш из Новосибирска. Занимаюсь тестированием на проникновение и разработкой решений по поиску уязвимостей. Неравнодушен к реверс-инжинирингу и эксплуатации бинарных уязвимостей.

 

Security Training & Awareness в Тинькофф – Елена Клочкова, Тинькофф

Доклад о том, как мы в Тинькофф c нуля развивали культуру безопасного программирования в командах, и какими способами смогли вовлечь самих разработчиков в поиск уязвимостей.

Расскажу, какие процессы безопасности устоялись, какие оказались неэффективными, и как их внедрение повлияло на метрики команды Application Security.

 

DevSecOps для облачного провайдера: опыт Яндекс.Облака — Антон Жаболенко, Яндекс.Облако

В докладе мы рассмотрим типовые для облачного провайдера кейсы безопасности. А ещё поговорим о том, как внедрённые нами процессы безопасности в Яндекс.Облаке помогают бороться с различными угрозами.

О спикере: Я инженер по информационной безопасности в Яндекс.Облаке. Занимаюсь поиском уязвимостей и проектированием безопасных сервисов. Интересуюсь бинарной эксплуатацией и side channel атаками. Преподаю безопасность веба и реверс в МГУ.

Расписание

[18:00–18:40] — Как мы (и нас) сами себя взламываем: безопасность глазами разработчика, Денис Юрьев, Skyeng
[18:45–19:10] — Single quote injection to find them all, Александр Трифанов, Авито
[19:15–19:50] — Security Training & Awareness в Тинькофф, Елена Клочкова, Тинькофф
[19:55–20:30] — DevSecOps для облачного провайдера: опыт Яндекс.Облака, Антон Жаболенко, Яндекс.Облако

Пароли и явки

Трансляция на ютуб-канале AvitoTech стартует в четверг 25 июня в 18:00 по Москве. Закончим примерно к 20:30. Если перейти на ютуб, можно нажать кнопку «Напомнить», чтобы точно ничего не пропустить.

Задавайте вопросы в чате трансляции — на самые интересные ответим в эфире. После каждого доклада можно будет отдельно пообщаться со спикером. 

Если хочется получить напоминание о событии со ссылкой на эфир на электронную почту, зарегистрируйтесь в форме ниже. 

До встречи в онлайне!

Поделиться:

125 дней назад
25 июня 18:00–20:30

Событие пройдет онлайн

Уже есть билет
Ссылка на онлайн-событие рассылается за час до его начала.
Получить ссылку

Рекомендуемые события

Есть вопросы?

Напишите нам, и мы обязательно вам ответим. Много интересного уже есть в нашей базе знаний.

Участник Организатор

Связь с организатором

На этот адрес придёт ответ от организатора.

Подпишитесь на рассылку организатора

Возврат билета

Если вы хотите вернуть билеты, вы можете сделать это по ссылке из письма с билетами или оформить запрос организатору в вашем  личном кабинете.

Подробнее о возврате билетов

Войдите через соцсети

или с помощью email

Забыли пароль?

Зарегистрируйтесь через соцсети

или с помощью email

Создайте организацию

чтобы получить возможность бесплатно создавать события и управлять ими.

Зарегистрируйтесь через соцсети

или с помощью email

Название увидят участники ваших событий на страницах регистрации, билетах и письмах

.timepad.ru

По этому адресу будет доступен ваш личный кабинет и страница событий для участников

Нужен для связи с вами

Как вы планируете использовать Timepad?

Создайте организацию

чтобы получить возможность бесплатно создавать события и управлять ими.

Название увидят участники ваших событий на страницах регистрации, билетах и письмах

.timepad.ru

По этому адресу будет доступен ваш личный кабинет и страница событий для участников

Нужен для связи с вами

Как вы планируете использовать Timepad?

Укажите ваш email

Подтвердите ваш email

Сообщение с проверочным кодом было отправлено на указанный email

Отправить еще раз