Безопасная разработка бизнес-приложений на Java

Запись вебинара о том, как упростить организацию безопасной разработки бизнес-приложений с использованием российской open-source платформы Jmix и безопасного репозитория «РТК-Феникс».

Рост популярности использования open-source технологий в России связан с возросшим спросом на разработку российских аналогов программных продуктов, взамен решений зарубежных вендоров. Но вместе с этим возросли и риски, связанные с использованием open-source компонентов. Минимизация рисков возможна только при внедрении дополнительных инструментов управления безопасностью, которая требует специальных компетенций, времени и финансовых ресурсов. Команда платформы Jmix совместно с «РТК-Феникс» расскажет о техническом решении, которое позволит оптимизировать издержки, связанные с организацией безопасной разработки при разработке бизнес-приложений на основе open-source платформы Jmix.

Вебинар будет интересен как для руководителей команд разработки и технических руководителей, так и для сотрудников ИБ. Расскажем о разработанном подходе и ответим на вопросы онлайн. Запись вебинара можно посмотреть на нашем youtube канале.

Спикеры

• Виктор Фадеев, Product Manager в Jmix
• Кирилл Пихтовников, Заместитель генерального директора / Технический директор в Ростелеком информационные технологии

О чём рассказываем

• 1:19Приветствие, адженда
• 6:30 Термины
• 7:25 Риски истользования свободного программного обеспечения
• 8:24 Риск злонамеренного кода
• 10:17 Риск нарушения целостности и безопасности артефактов разработки
• 12:17 Компроментация цепочек поставок
• 14:09 Примеры компроментации цепочки поставок
• 15:34 Лицензии: копилефтные, разрешительные (пермиссивные)
• 18:35 Базовые практики безопасности приложений
• 20:41 Резюмируем задачи OSA / SCA
• 21:42 Задачи Static Application Security Testing (SAST)
• 22:20 Задачи Dynamic Application Security Testing (DAST)
• 23:15 Инструменты купили, теперь безопасность?
• 24:24 Решение Jmix и РТК-Феникс
• 24:51 Что предлагает Jmix
• 25:47 Что предлагает РТК-Феникс
• 27:00 Доступ к РТК-Феникс (онлайн)
• 29:54 Доступ к РТК-Феникс (оффлайн)
• 30:56 Статистика проверки и хранения артефактов
• 31:52 Преимущества решения Jmix и РТК-Феникс
• 32:40 Демо
• 42:43 Варианты поставок
• 43:26 Как получить доступ
• 44:13 Вопросы

Определения

Исходный текст программного обеспечения — программное обеспечение, представленное на языке программирования, в форме, беспрепятственно позволяющей внесение в программное обеспечение изменений.

Программное обеспечение — программы для электронных вычислительных машин (компьютерные программы) и документация, необходимая для их эксплуатации

Открытое программное обеспечение — программное обеспечение, право использования которого предоставляется на условиях лицензии открытого программного обеспечения.

Артефакт СПО — любой созданный искусственно элемент программы для ЭВМ. К артефактам могут относиться исходный текст, объектный код программного обеспечения.

Cвободное программное обеспечение (СПО) — программное обеспечение, право использования которого предоставляется на основании лицензионного договора, условия которого позволяют пользователю:

• использовать программное обеспечение в любых, не запрещенных законом целях;
• получать доступ к исходным текстам программного обеспечения как в целях изучения и адаптации, так и в целях переработки;
• распространять программное обеспечение (бесплатно или за плату, по своему усмотрению);
• вносить изменения в программное обеспечение (перерабатывать) и распространять экземпляры измененного (переработанного) программного обеспечения с учетом возможных требований наследования лицензии.

Лицензия открытого программного обеспечения — лицензионный договор (открытая лицензия) по предоставлению права использования программного обеспечения, условия которого не должны накладывать каких-либо ограничений на использование (включая распространение и продажу экземпляра) программного обеспечения в качестве компонента составного программного обеспечения, содержащего программы для электронных вычислительных машин, полученные из различных источников, должен являться безвозмездным (не должен содержать обязательств об уплате лицензионных либо иных вознаграждений), за исключением возможности включения в текст лицензионного договора:

• требований в отношении распространения производного (модифицированного) программного обеспечения на тех же условиях, что и лицензируемое (использованное) программное обеспечение;
• требований в отношении распространения вместе с программным обеспечением текста лицензии и сведений об авторских правах;
• требований лицензионных договоров, предусматривающих доступ к дополнительным функциям программного обеспечения и (или) доступ к определенным частям исходного текста программного обеспечения или объектного кода, реализующим такие дополнительные функции, на возмездной основе или при выполнении определенных лицензиаром условий, в том числе при предоставлении услуг.