Коллеги, доброго дня.

В сообщество вливаются новые участники, при этом список чатов/каналов сообщества стал достаточно обширным и не все знают про существующие ресурсы. Представляется полезным раз в полгода публиковать список ресурсов сообщества с их краткой аннотацией.

Ресурсы под эгидой Центра компетенций ФСТЭК России и ИСП РАН:

@sdl_inform - канал, не ставьте его в Mute, сообщения там появляются в среднем одно в неделю. Основные, наиболее значимые для сообщества оповещения о встречах и иных мероприятиях.

@sdl_static - чат, посвященный вопросам компиляторики и статического анализа (в первую очередь безопасный компилятор/Svace/Svacer, но не только).

@sdl_dynamic - чат, посвященный вопросам динамического анализа (в первую очередь Crusher/Sydr/Casr/Блесна/Natch, но не только).

@sdl_community - чат, посвященный вопросам объединения сил и средства сообщества в вопросах анализ ядра Линукс и критичных компонентов, доверенной загрузки и т. п., а также мероприятиям и некоторым (согласованным) новостям от регулятора.

@sdl_flood - чат, флуд на тему безопасной и качественно разработки - то, что не укладывается в темы указанных выше чатов (не котики и не мемасики и даже не пони, при всей нашей к ним любви).

Дружественные тематические ресурсы:

@sydr_fuzz - чат, поддержка пользователей фаззера Sydr.

@ispras_natch - чат, поддержка пользователей системы определения поверхности атаки Natch.

@sdl_for_upstream_ru и @sdl_for_upstream - чат и канал, оповещения о принятых апстримом багах и уязвимостях, найденных участниками сообщества.

@ispras_friends - чат, оживает за неделю до конференций ИСП РАН, место неформального общения друзей и единомышленников по вопросам выбора гостиниц и злачных мест.

[NEW] @SDL_Community_SPb - чат, локальный чат Питерской ветки нашего сообщества, созданный в мае с целью координировать локальные встречи в СПб (ближайшая будет 12го августа, 27го июля объявим подробности).

Некоторые правила ресурсов "под эгидой":

1. Не стесняйтесь задавать вопросы - чаты изначально созданы именно как просветительский ресурс под эгидой регулятора, в этом их основная миссия. И, традиционно, нам нужны мотивированные и грамотные контрибьюторы :)

2. Чаты не предназначены для обсуждения особенностях трактовки регуляторных документов, за исключением особых случаев, как правило непосредственно инспирированных регулятором, например: https://t.me/sdl_community/2218.

3. Чаты не предназначены для форвардинга сообщений маркетологической направленности, особенно в отношении различных "поделок". Описание вашего личного, подтверждаемого и воспроизводимого в потенциальных публичных соревнованиях опыта использования тех или иных инструментов/методик, приветствуется.

[NEW] 3.1. Некоторое исключение делается для значимых и кросс-верифицированных участников нашего сообщества (вы и так знаете о ком речь, если в сообщества давно) в случае ответов на вопросы в чате. Но в любом случае злоупотребление данной возможностью будет пресекаться.

4. По вопросам получения доступа к репозиториям сообщества (а также с целью ознакомления с его историей) обратите внимание на ссылку в описании чата @sdl_community.

5. Избегайте флуда, флейма, [NEW] глубокомысленных комментариев по вопросам, в которых вы слабо разбираетесь и т. п. Все люди взрослые, банхаммер не дремлет :)

Уважаемые коллеги, добрый день! Сегодня опубликован свежий номер журнала "Информационная безопасность" №3, с которым вы можете ознакомиться по ссылке. Центральным событием выпуска стал спецпроект "Безопасная разработка" (РБПО) — большой круглый стол по вопросам практической информационной безопасности. В нем приняли участие представители 19 организаций, многие из которых хорошо знакомы сообществу и являются его активными участниками.

В последнее время тема РБПО стала интересна практически всем, кто связан с разработкой и ИБ. В редакцию регулярно поступают запросы от руководителей, оценивающих риски, затраты и выгоду перехода к парадигме "SDL First", с просьбой о более подробном освещении данных вопросов. В ходе подготовки круглого стола мы попросили участников ответить на 7 вопросов, как правило вызывающих наибольший резонанс у представителей как инженерного, так и бизнес-сообщества.

Искренне рассчитываем на то, что чтение материалов спецпроекта окажется для вас не только интересным но и принесет практическую пользу! Будем рады обратной связи. И до встречи на полях форума ITSEC 2023 и ТБ Форума 2024!

И еще раз ссылка на номер для тех, кто дочитал до конца https://cs.groteck.com/IB_3_2023/

Коллеги, привет!

Подготовка номера заняла у участников и редакции два месяца практически ежедневной работы и, как нам кажется, материал получился действительно интересным и полезным. Перед публикацией мы показали его коллегам в Регуляторе и также получили поддержку наших материалов. В общем старались честно, результатом довольны :)

Мы будем рады, если вы перешлёте сообщение со ссылкой выше вашим друзьям и знакомым, и совершенно не будем возражать, если вы распространите это сообщение и ссылку на номер в ваших персональных информационных ресурсах, как это сделают непосредственные участники спецпроекта.

Коллеги, по встрече сообщества 12го августа в Санкт-Петербурге появилась финальная информация, доступна здесь. Будем рады видеть вас, будет интересно!

+

Уважаемые коллеги!

Приглашаем принять участие в ежегодной Открытой конференции ИСП РАН им. В.П. Иванникова!

Она состоится 4-5 декабря 2023 года в Главном здании РАН в Москве и будет посвящена 75-летию отечественных информационных технологий. Конференция традиционно проводится при поддержке IEEE и IEEE Computer Society. Избранные статьи будут опубликованы в электронной библиотеке IEEE Xplore Digital Library. Русскоязычные статьи или переводы могут быть опубликованы в журналах "Труды ИСП РАН" и "Программирование", которые входят в Перечень ВАК.

✔️Для участия в конференции необходимо зарегистрироваться.

‼️Статьи и тезисы подаются через интернет-систему EasyChair. Всё о правилах оформления материалов — здесь.

⏳Важные даты (сроки переноситься не будут!):
- Срок подачи статей: до 23:59 1 ноября 2023 г.
- Уведомление о включении в программу: до 14 ноября 2023 г.
- Регистрация участников: до 27 ноября 2023 г.
- Готовые к публикации статьи: до 14 декабря 2023 г.

В рамках конференции предусмотрены пять секций научных докладов:
- Технологии анализа, моделирования и трансформации программ
- Управление данными и информационные системы
- Решение задач механики сплошных сред с использованием СПО
- САПР микроэлектронной аппаратуры
- Лингвистические системы анализа

Кроме того, запланирован ряд других мероприятий, в том числе круглых столов по цифровой медицине и кибербезопасности. Подробности появятся чуть позже.

По всем вопросам просьба обращаться по e-mail: scsec@ispras.ru.

Уважаемые коллеги! Сообщение от коллег из Лаборатории Касперского.

"Долгожданные фотографии и записи выступлений с Certification Day 2023 доступны на сайте".

На канале Лаборатории Касперского вышла серия, посвященная ученым в IT. С хорошо знакомыми участникам сообщества спикерами :) Досмотрел уже до 30й минуты, желания перемотать не возникло ни разу - к просмотру рекомендовано!

❓Какие учёные в ближайшее время будут востребованы в сферах высоких технологий и кибербезопасности? Как правильно развивать наукоёмкую область информационных технологий? Для чего нужна междисциплинарность?

❗️Об этом и не только – в новом выпуске подкаста «Лаборатории Касперского» о практической кибербезопасности: https://www.youtube.com/watch?v=M0-uBQJDuAs.

✔️Тема: «Учёные в кибербезопасности»

Ведущий подкаста: Владимир Дащенко, эксперт Kaspersky ICS CERT

Участники беседы:
Арутюн Аветисян, директор ИСП РАН, академик РАН
Александр Козлов, эксперт кибербезопасности, преподаватель МГТУ и МИФИ
Владимир Карантаев, руководитель направления «Кибербезопасность» в НТИ МЭИ, MBA

Коллеги, привет.
Официальный анонс ISPRASOPEN состоялся ранее, пришло время для специального анонса в сообществе!

1. Масштаб конференции существенно вырос - см. фото основного зала. Это связано и с тем, что мероприятие приурочено к 75-летию отечественных информационных технологий в России, и с тем, что наше сообщество значимо увеличилось за 2023й год!

2. В документе описание как конференции в целом, так и нашей секции в частности. Секция разбиты на три блока, впервые будут затронуты две новые для секции темы: вопросы образования, вопросы "иных" SDL-технологий. Секция также пройдёт в Большом зале, после пленарки.

3. Прочитав описание секции вы увидите (по крайней мере очень рассчитываем на это 🙃), что мы постарались сделать её максимально разнонаправленной и интересной широкому кругу гостей, при этом соблюдя взаимосвязь тем. В том числе для того, чтобы не растерять аудиторию ближе к вечеру. Чем ближе к 3му блоку, тем менее формальными будут спикеры - активные участники сообщества; и тем больше виски-клуба в перерывах между блоками 😏. Такой формат это большой эксперимент в первую очередь для самих организаторов. Поэтому в этот раз мы будем особенно рады видеть вас! А ещё - если есть подшефная ВУЗовская молодёжь - приглашайте, уверены, что мероприятие им понравится!

Вместо послесловия: коллеги, ещё одно новшество - впервые в истории этой конференции у вас появляется возможность поставить свой стенд/баннер/флажок в фойе и рассказать о ваших достижения и интересах на SDL-ниве. Всё таки Безопасная разработка это конкурентное преимущество XXI-века, и передовики всегда вызывают особенный интерес!

Данная опция доступна проверенным участникам сообщества, съевшим вместе уже не один пуд кибер-соли. Если вы понимаете, что это про вас (нас не так много, все "старички" знакомы лично) и вы сначала про системные технологии и инженерную культур (и маркетинг только как следствие), можете сразу писать ей, ну или мне в крайнем случае...

Если же вы впервые услышали про сообщество, наши чаты, конференцию и т. п., для начала напишите мне - выступлю в роли прокси к лицам, принимающим решение.

До встречи 4го декабря! Пожалуйста не забудьте пройти регистрацию, вход в "Золотые мозги" традиционно по паспорту!

P.S.S. Для обсуждения неформальных вопросов вида "Где остановиться, куда идти ужинать, вы где и где я сам..." придуман "чат друзей", оживающий в окрестностях ИСПовых конференций. Если вы впервые на мероприятии и заинтересованы в продолжении вечера в неформальной атмосфере сообщества - вам туда.

Коллеги, в качестве небольшого анонса ИСПРАСОПЕН, посвященного в этом году 75-летию отечественных информационных технологий!

16 ноября в 10.00 в редакции «Комсомольской правды» начнётся круглый стол, посвященный 75-летию отечественных информационных технологий.

✔️В числе участников:
Арутюн Аветисян, директор ИСП РАН, академик РАН
Леонид Алтухов, президент компании «Интерпроком»
Владимир Воеводин, директор филиала МГУ Саров, член- корреспондент РАН, сопредседатель направления НЦФМ
Андрей Кузнецов, исполнительный директор по исследованию данных Sber AI
Алексей Семёнов, доктор физико-математических наук, академик РАН, академик РАО
Александр Сигов, президент МИРЭА, академик РАН

и многие другие!

❗️Ссылка на трансляцию мероприятия появится чуть позже.

https://www.kp.ru/daily/press/detail/15593/

Выпустили релиз Svacer 8-0-0 (сервер для импорта, просмотра и разметки результатов статического анализа)

В нем много нового, одно из самых значимых — новая ролевая модель. Подробнее в Release notes и Changelog.

Скачать можно с нашей Mediawiki

Также доступен в виде docker-образа на docker hub и как пакет в apt-репозитории

Уважаемые коллеги!

‼️Напоминаем, что сегодня — последний день регистрации на Открытую конференцию ИСП РАН, которая пройдет 4-5 декабря в здании Президиума РАН по адресу Ленинский проспект, 32А.

✔️Если вы планируете участвовать, зарегистрируйтесь до 23:59:
https://www.isprasopen.ru/#Registration

Коллеги, сегодня стала доступной запись подкаста. Тема интересная, почти все спикеры - известные вам активные участники сообщества, ну и реализация не подкачала. Рекомендуем послушать (можно без видео, слайдов не будет) 🙂

#подкаст

Новый выпуск подкаста [SafeCode Live] — о принципах статического анализа кода (SAST)

Сегодня в разработке ПО не обходятся без функционального тестирования — так проверяют качество конечного продукта. Наравне с этим всё чаще применяют подходы к анализу кода на уязвимости, обеспечивая комплексную оценку надежности ПО.

Один из ключевых инструментов проверки на надежность — статический анализатор кода. В этом выпуске разбираемся, где и почему применяют подобные инструменты, и какие у них есть особенности.

Будет интересно разработчикам и всем, кто (уже или еще пока не) озабочен безопасностью своего софта.

Участники обсуждают:

— назначение статических анализаторов;
— типы и алгоритмы анализа;
— уровень качества, которые обеспечивают подходы к анализу кода;
— ложноположительные и ложноотрицательные срабатывания;
— контекстные особенности при анализе разных языков программирования;
— способы сравнения SAST-инструментов.

Гости:

— Андрей Белеванцев, ведущий научный сотрудник Института системного программирования им. В.П. Иванникова РАН. Занимается статическим анализом, участвует в разработке анализатора Svace.

— Алексей Смирнов, основатель системы композиционного анализа CodeScoring. Специализируется на обработке текстовых данных в контексте анализа исходных кодов.

— Владимир Кочетков, руководитель направления экспертизы AppSec в Positive Technologies. Эксперт по безопасности приложений.

Ведущий:

Сергей Деев, эксперт по кибербезопасности в МТС RED.

Выпуск уже на:

— YouTube
— Apple Podcasts
— Яндекс Музыке
— ВКонтакте

Слушайте где удобно!

Уважаемые коллеги!

❗️На сайте ИСП РАН выложен "Сборник технологий" 2023 года:

https://www.ispras.ru/downloads/ISP_RAS_Catalogue_of_technologies_ru.pdf