DevSecOps: Фаззинг исходного кода

6 ноября, 14:50

Тезисы

За последние 10 лет фаззинг стал неотъемлемой частью процессов аудита и поиска уязвимостей в ПО. Fuzz-машина Google, запущенная в 2011 году, нашла тысячи уязвимостей в Chromium и показала необходимость превращения разового исследования в постоянный процесс. Мы расскажем, с чем придется столкнуться разработчикам при подготовке своего продукта на С/С++ к фаззингу, какие подводные камни ожидают DevOps-инженеров, и как это в результате поможет сократить количество уязвимостей в вашем продукте еще на этапе разработки.

Digital Security

Борис Рютин

Начал карьеру в качестве инженера и разработчика, однако его страсть к исследованию ПО привела его в мир реверс-инжиниринга. Переключившись на сферу инфобеза, он помимо аудита десктопных приложений сосредоточился на проблемах безопасности мобильных устройств, а именно: пентесте, анализе зловредного ПО и эксплуатации уязвимостей в Android и iOS. Борис участвует в нескольких opensource-проектах, связанных с ИБ. Время от времени он проводит тренинги в университетах и на конференциях.

Начал карьеру в качестве инженера и разработчика, однако его страсть к исследованию ПО привела его в мир реверс-инжиниринга. Переключившись на сферу инфобеза, он помимо аудита десктопных приложений сосредоточился на проблемах безопасности мобильных устройств, а именно: пентесте, анализе зловредного ПО и эксплуатации уязвимостей в Android и iOS. Борис участвует в нескольких opensource-проектах, связанных с ИБ. Время от времени он проводит тренинги в университетах и на конференциях.

Digital Security

Павел Князев

Реверсер в Digital Security. Области интересов: Reverse engineering, фаззинг, эксплуатация уязвимостей. С недавних пор в область интересов добавился DevOps.

Реверсер в Digital Security. Области интересов: Reverse engineering, фаззинг, эксплуатация уязвимостей. С недавних пор в область интересов добавился DevOps.