De acordo com pt.wedoany.com-O sexto Dia de Segurança de Desenvolvimento de Software foi realizado em 17 de junho em Moscou. Esta conferência prática anual, organizada pela Associação de Produtos de Software da Rússia (АРПП «Отечественный софт»), reuniu mais de 100 líderes de empresas de TI, diretores técnicos, especialistas em AppSec, representantes de órgãos reguladores e membros da academia. O evento contou com o apoio da UserGate, desenvolvedora russa de soluções de segurança cibernética, e focou em tópicos como a aplicação de inteligência artificial no desenvolvimento, segurança de componentes de código aberto, proteção da cadeia de suprimentos de software, práticas de DevSecOps e o desenvolvimento de processos de segurança de software.

Renat Lashin, Diretor Executivo da Associação de Produtos de Software da Rússia, destacou em seu discurso que a participação das empresas de TI na conferência aumentou mais de 10 vezes durante o período do evento. A indústria está transitando de discutir requisitos e padrões para compartilhar experiências práticas de integração de segurança no desenvolvimento. O objetivo da associação é promover o diálogo entre desenvolvedores, clientes, especialistas e órgãos reguladores.

Dmitry Kurashev, cofundador e diretor da UserGate, afirmou que a segurança do código é um princípio fundamental de sua empresa. A UserGate planeja concluir em breve o processo de certificação de padrões de segurança de desenvolvimento de software para comprovar a maturidade de seus processos internos e a segurança de suas soluções.

Roman Karpov, moderador da conferência, chefe do Comitê de Segurança da Informação da Associação de Produtos de Software da Rússia e Diretor Geral da Axiom JDK, mencionou que a associação fornecerá suporte em três áreas com base nos resultados da conferência: implementação de práticas de acordo com os requisitos do Serviço Federal de Controle Técnico e de Exportação (ФСТЭК), realização de auditorias conforme a GOST 56939-2024 e preparação de documentação para o quarto nível de confiança. A associação planeja desenvolver programas direcionados de apoio à segurança de desenvolvimento, incentivando as empresas a passar do interesse para a implementação prática.

Uma sessão especial da conferência discutiu a base regulatória e metodológica para a segurança de desenvolvimento. Anastasia Sakulina, consultora do Banco da Rússia, apresentou que a nova versão do perfil de proteção, seção 7.4, foi alinhada com os padrões nacionais de segurança de desenvolvimento, tornando os requisitos para o ciclo de vida de desenvolvimento seguro mais detalhados e verificáveis. O Banco da Rússia planeja complementar novos requisitos com base no desenvolvimento tecnológico.

Elena Sosnina, especialista do Instituto de Programação de Sistemas da Academia Russa de Ciências (ИСП РАН), apresentou o recurso de informação РБПО.РФ, que integra materiais metodológicos e documentos normativos para a implementação de processos de desenvolvimento seguro. Os clientes estão começando a incluir requisitos de conformidade com padrões nacionais em documentos de licitação, e as organizações enfrentam o desafio de como atender e comprovar esses requisitos.

Alexey Khoroshilov, chefe do Centro de Pesquisa em Segurança de Software de Sistemas do Instituto de Programação de Sistemas da Academia Russa de Ciências, destacou que a pesquisa de segurança de componentes emprestados de código aberto requer métodos especializados, com requisitos detalhados para pilhas de tecnologia e componentes de arquitetura específicos, abrangendo análise de superfície de ataque, análise de dependências, análise estática, testes dinâmicos, testes de fuzzing e uso de Sanitizers. Métodos genéricos não conseguem estabelecer padrões precisos para todos os casos de uso, e a indústria precisa de métodos especializados mais detalhados.

Representantes de várias empresas compartilharam experiências na implementação de segurança de desenvolvimento e no uso de ferramentas. Sergey Nelyub, Diretor Técnico da ASTRA AI, apresentou sistemas inteligentes para geração de código. Fyodor Bogoslovsky, engenheiro de segurança de aplicações da UserGate, falou sobre a expansão da cobertura de subsistemas do kernel Linux no syzkaller. Leonid Bezvershenko, pesquisador sênior de ameaças da GReAT da Kaspersky, analisou ataques à cadeia de suprimentos de software e práticas de exploração de vulnerabilidades. Outras apresentações abordaram erros típicos na certificação de segurança de desenvolvimento, estabelecimento de um espaço de confiança unificado, ferramentas de segurança de desenvolvimento em plataformas Git em nuvem, métodos de criptografia BYOK, pipelines de desenvolvimento de software seguro, aplicação de IA na segurança de desenvolvimento e ASOC como ponto de partida para a segurança de desenvolvimento.

A conferência confirmou o crescente interesse da indústria em questões de segurança de desenvolvimento e a prontidão das empresas para a implementação prática. A Associação de Produtos de Software da Rússia planeja realizar a próxima edição do Dia de Segurança de Desenvolvimento de Software em dezembro de 2026.

Parceiro técnico: "Truconf".

Parceiros de informação: "Cybermedia", revista "Segurança da Informação", BIS Journal - Segurança da Informação Empresarial, RUSSOFT, APKIT.

A Associação de Produtos de Software da Rússia é a maior aliança de fabricantes de software replicável da Rússia. Fundada em 2009 por desenvolvedores russos, a associação conta com mais de 300 empresas de TI membros, com um faturamento total de 570 bilhões de rublos, representando 30% de toda a indústria de software replicável. Há 17 anos, a associação se tornou um centro profissional para a construção da estrutura regulatória na área de substituição de importações e uma plataforma de diálogo direto com o Estado.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com