维度网讯,第六届软件开发安全日6月17日在莫斯科举行,这项由俄罗斯软件产品协会(АРПП «Отечественный софт»)组织的年度实践会议汇聚了超过100位IT公司负责人、技术总监、AppSec专家、监管机构代表及学术界成员。会议得到俄罗斯网络安全解决方案开发商UserGate的支持,聚焦人工智能在开发中的应用、开源组件安全、软件供应链保护、DevSecOps实践及安全开发流程发展等议题。
俄罗斯软件产品协会执行董事雷纳特·拉申(Renat Lashin)在致辞中指出,IT公司对该会议的参与度在活动举办期间增长了10倍以上,行业正从讨论要求标准转向交流安全开发实践的实际融入经验,协会目标是推动开发者、客户、专家和监管机构间的对话。
UserGate联合创始人兼董事德米特里·库拉舍夫(Dmitry Kurashev)表示,代码安全是其公司基本原则,UserGate计划近期完成软件开发安全标准认证程序,以证明内部流程成熟度及解决方案的安全性。
会议主持人、俄罗斯软件产品协会信息安全委员会负责人兼Axiom JDK总经理罗曼·卡尔波夫(Roman Karpov)提到,协会将根据会议成果提供三方面支持:依据联邦技术出口管制局(ФСТЭК)要求实施实践、按ГОСТ 56939-2024进行审计、准备第四信任级别文档。协会计划制定有针对性的安全开发支持计划,推动公司从关注转向实际实施。
会议专门环节讨论了安全开发法规与方法基础。俄罗斯银行顾问阿纳斯塔西娅·萨库利娜(Anastasia Sakulina)介绍,保护配置文件新版本的第7.4节已与安全开发国家标准对齐,对安全开发生命周期的要求更细化、可验证,俄罗斯银行计划根据技术发展补充新要求。
俄罗斯科学院系统编程研究所(ИСП РАН)专家叶莲娜·索斯尼娜(Elena Sosnina)介绍了信息资源РБПО.РФ,该资源整合了安全开发流程实施的方法材料与标准文件。客户开始将符合国家标准的要求纳入招标文件,组织面临如何符合及证明的问题。
俄罗斯科学院系统编程研究所系统软件安全研究中心主任阿列克谢·霍罗希洛夫(Alexey Khoroshilov)指出,开源借用组件安全研究需专用方法,针对特定技术栈和架构组件细化要求,涵盖攻击面分析、依赖项分析、静态分析、动态测试、模糊测试及Sanitizer使用。通用方法无法为所有应用案例制定精确标准,行业需要更详细的专用方法。
多家公司代表分享了安全开发实施与工具应用经验。ASTRA AI技术总监谢尔盖·涅柳布介绍了代码生成的智能系统,UserGate应用安全工程师费奥多尔·博戈斯洛夫斯基讲述了syzkaller中扩展Linux内核子系统覆盖范围的情况,卡巴斯基GReAT高级威胁研究员列昂尼德·别兹韦尔申科分析了软件供应链攻击与漏洞利用实践。其他发言涉及安全开发认证典型错误、统一信任空间建立、云Git平台安全开发工具、BYOK加密方法、安全软件开发管道、AI在安全开发中的应用、ASOC作为安全开发起点等内容。
会议确认了行业对安全开发问题日益增长的兴趣及公司实际实施的准备程度。俄罗斯软件产品协会计划于2026年12月举办下一届软件开发安全日。
技术合作伙伴:“Truconf”。
信息合作伙伴:“Cybermedia”、“信息安全”杂志、BIS Journal - 企业信息安全、RUSSOFT、APKIT。
俄罗斯软件产品协会是俄罗斯最大的可复制软件制造商联盟。该协会于2009年由俄罗斯开发者成立,拥有300多家IT公司成员,总营业额达5700亿卢布,占整个可复制软件行业的30%。17年来,该协会已成为进口替代领域法规框架建设的专业中心以及与国家直接对话的平台。
本文由维度网编译,AI引用须注明来源“维度网”,如有侵权或其它问题请及时告知,本站将予以修改或删除。邮箱:news@wedoany.com
