SecOps Polska Online MeetUp #26

Prelekcja #1: Bezpieczeństwo oprogramowania opartego na open source” - Jarosław Stakuń

Budowanie oprogramowania bazującego na open source jest obecnie standardem w prawie wszystkich organizacjach. Często dyskutuje się czy oprogramowanie open source jest bardziej bezpieczne niż to rozwijane w modelu kodu zamkniętego, ale bez wątpienia każde z nich zawiera podatności bezpieczeństwa, które po ujawnieniu wymagają wdrożenia poprawek na zainfekowanych systemach. Ostatnio dużą uwagę zwróciły podatności ujawnione w bardzo popularnej bibliotece open source log4j2. W trakcie prezentacji Jarek omówi, jak wygląda proces wykrywania i reagowania na podatności bezpieczeństwa w projektach open source, jakie są dostępne narzędzia do ich wykrywania i obrony przed potencjalnymi atakami we własnej infrastrukturze oraz jakie są najlepsze praktyki w zakresie bezpiecznego korzystania z oprogramowania open source wykorzystując podatności log4j2 jako przykład.

Jarosław Stakuń -  Architekt rozwiązań IT w firmie Red Hat odpowiedzialny za wsparcie sprzedaży i wdrożeń rozwiązań opartych na technologii Red Hat Application Services oraz Openshift Container Platform u klientów z różnych sektorów w regionie Europy Centralnej i Wschodniej. Jest certyfikowanym Architektem Red Hat RHCA ze specjalizacją Enterprise Applications. Posiada wieloletnie doświadczenie w technologiach middleware ze szczególnym uwzględnieniem platform serwerów aplikacyjnych, integracji systemów, automatyzacji procesów biznesowych, bezpieczeństwa systemów IT, technologii mobilnych, a także konteneryzacji środowisk aplikacyjnych oraz rozwiązań chmurowych.

________________________________________________________________________

Prelekcja #2: ”Omówienie funkcji bezpieczeństwa GitHub Advanced Security” - Wiktor Szymański

Dbanie o bezpieczeństwo kodu to złożony proces. Developer powinien pamiętać o bezpieczeństwie własnego kodu, aktualizacji zależności czy właściwym zarządzaniu sekretów. Jeżeli korzystamy z repozytorium GitHub, a nasz kod znajduje się w publicznym repozytorium, wiele z tych czynności możemy za darmo zautomatyzować, o czym Wiktor opowie Wam w trakcie swojego wystąpienia. Dowiecie się również, co pomoże Wam w tych działaniach oraz posłuchacie o mechanizmach z modułu Github Advanced Security, takich jak dependanot, secret scanning czy code scanning z wykorzystaniem codeQL.

Wiktor Szymański - związany jest z branżą bezpieczeństwa od ponad 8 lat. Posiada szerokie doświadczenie w obszarze application security/product security wyniesione z konsultingu, branży finansowej i branży masa media. Sympatyk dzielenia się wiedzą, maniak planszówek, entuzjasta klocków LEGO. Na co dzień dba o bezpieczeństwo aplikacji webowych i mobilnych.