IV. DevSecOps meetup (online formában!)

📅 Negyedik meetupunkat június 23-án a modern fejlesztői környezetek IT-biztonságának szenteljük. A meetup - köszönhetően a korábbi kezdésnek - még a foci EB aznapi meccsei előtt véget ér! :)

A meetupra jelentkezők hozzáférnek majd az online közvetítésünkhöz, ahol élőben, tökéletes minőségben, a prezentációk bevágott képével lesz követhető az esemény. A meetup felvételről is visszanézhető lesz!

📣 A közvetítés linkjét a rendezvény előtt küldjük ki a résztvevőknek, de ide, a rendezvény oldalára is kikerül!

Íme a menetrend:

• 16:15 - Stream ON, belogin, ismerkedés

• 16:30 🎤 Security, mint kultúra (Gerendás András Attila, Ericsson)

Gondolom ismerős lehet az a helyzet, amikor a lehetséges biztonsággal kapcsolatos problémák csak az utolsó pillanatban merülnek fel a fejlesztés során. Meglévő megoldásokba utólag szinte lehetetlen beépíteni biztonságos alternatívákat. Ezzel szemben ahhoz, hogy a biztonság már a termékfejlesztés legelejétől fontos szempont legyen, azt előbb részesévé kell tennünk a kultúránknak. Az előadásom során többet is megtudhatunk erről a koncepcióról.

• 16:50 🎤 DevSecOps - Full Stack Security (Ottucsák József, Diligent Hungary)

Hogyan tudjuk garantálni, hogy minden release kellően biztonságos legyen anélkül, hogy minden fejlesztő mellé egy security engineert ültetnének? Hogyan tud egy termékcsapat az első perctől kezdve megbízható, biztonságos kódot szállítani? Hogyan tudjuk garantálni, hogy minden új projekt ugyanazoknak a biztonsági sztenderdeknek feleljen meg? Hogyan tud a biztonság a fejlesztés sebességével együtt skálázódni? A DevSecOps filozófia az alábbi kérdésekre próbál választ adni mindenki számára érthető módon.

• 17:10 🎤 Kibertámadások kereszttüzében – biztonsági 1x1 konténerre (Polereczki Andrea, Inter-Computer)

Az új technológiák, a felhő alapú konténer platformok megváltoztatták az alkalmazások fejlesztésének, telepítésének és üzemeltetésének módját. A konténeres megoldásoknak számos előnye van, és ennek eredményeként széles körben alkalmazzák jelenleg is. A Gartner szerint 2020-ig a globális szervezetek több mint 50%-a futtat konténeres alkalmazásokat produktív környezetekben. Azonban, ha konténereket használó alkalmazásokat építünk, új biztonsági kihívásokkal és kockázatokkal is szembe kell néznünk. Egyetlen veszélyeztetett konténer veszélyeztetheti az összes többit, valamint az alapul szolgáló gazdagépet, infrastruktúrát is. Ennek az architektúráknak is egyre több biztonsági szabványnak és a megfelelőségi követelménynek kell megfelelnie. Az előadás során szó esik majd egy felhő alapú platform biztonságosságának legjobb, bevált gyakorlatairól valamint valós projekt tanulságok is megemlítésre kerülnek.

• 17:30 🎤 Policy Enforcement - a Kubernetes videobírója (Papp Lajos)

Az előadás első felében áttekintjük a Kubernetes főbb biztonsági nézőpontjait cluster szinten (halózati biztonság, API server elérés, pod security policies, K8s secrets) és konténer szinten (image/container vulnerability scanning, runtime isolation).
A Kubernetes világban már kialakultak ajánlások, amelyek a fenti szempontokat figyelembe veszik, de hogyan tudjuk elérni, hogy ezt a fejlesztők és üzemeltetők be is tartsák? Kérjünk meg mindenkit köremailben egy word doksi pontjainak a betartására, vagy ezt manuálisan ellenőrizzük? Aaaa dehogy, persze hogy erre is van egy eszköz (pontosabban sajnos több, amiből már megint választani kell). Megnézzük a 2 legismertebb Policy Enforcement toolt, az OPA-t és a kyvernot.

A szervezők a programváltoztatás jogát fenntartják!