Agenda Fast & Secure Forum 2024:
Bezpieczne i szybkie tworzenie kodu jest bardzo wygodne dla organizacji. Ale przejście do środowiska chmurowego i modelu pracy DevSecOps w warunkach Prawa Zamówień Publicznych i najbardziej wrażliwych danych – medycznych, to bardzo duże wyzwanie. Doświadczenia z przygotowań do dużego projektu transformacyjnego Gdańskiego Uniwersytetu Medycznego.
Wdrażanie praktyk DevSecOps podnoszących poziom bezpieczeństwa organizacji czy projektu może wiązać się z zakupem wielu narzędzi – kosztownych we wdrożeniu jak i podczas odnawiania licencji. Alternatywnym podejściem jest skorzystanie z przetestowanych i darmowych rozwiązań, które pozwalają zbudować lepsze zrozumienie wyzwań związanych z bezpieczeństwem. Jednym z takich "przewodników" jest OWASP Application Security Verification Standard, czyli projekt pierwotnie budowany jako zbiór pytań kontrolnych pozwalających ocenić poziom bezpieczeństwa aplikacji webowych. W miarę rozwoju stał się on doskonałą instrukcją pozwalającą nie tylko na zbudowanie "security awareness", ale również realnej oceny przydatności komercyjnych rozwiązań oferowanych za olbrzymie pieniądze. Historia o sukcesach, oszczędnościach, ale także błędach generujących koszty, których można było uniknąć.
Metodologia DevOps ma wiele zalet i jest powszechnie stosowana w projektach IT. Ale, jak każde narzędzie – nie nadaje się do wszystkiego. Prezentacja o tym, w jakiego rodzaju projektach DevOps nie jest optymalnym rozwiązaniem.
Booksy z jednej strony jest gwałtownie rosnącym startupem, ale z drugiej: globalną platformą obecną na wszystkich kontynentach. Historia transformacji Booksy z modelu DevOps do DevSecOps, czyli jak zachować zwinność w budowaniu aplikacji z odpowiednim poziomem bezpieczeństwa.
Chociaż koncepcja DevOps ma kilkanaście lat, to nadal w wielu projektach powtarzają się te same błędy. Są to zarówno błędy techniczne (m.in. zły dobór języków programowania, czy narzędzi) ale także zarządcze (np. nieodpowiedni dobór administratorów, brak zrozumienia procesów w organizacji). Autor prezentacji dzieli się doświadczeniem z ponad dwóch dekad pracy w różnych organizacjach przy zarządzaniu infrastrukturą, aby ułatwić identyfikację błędów podczas wdrożenia DevOps i zmniejszyć ryzyko niepowodzenia.
Dynamicznie rosnąca liczba wdrożeń generatywnej sztuczna inteligencja (GenAI), a w szczególności dużych modeli językowe (LLM), wiąże się z dostępem tych nowoczesnych rozwiązań do wielu istniejących w organizacji systemów. Jednak modele te, oprócz użyteczności, przynoszą również wiele nowych, unikalnych wyzwań związanych z bezpieczeństwem.
Prezentacja na temat najczęstszych kategorii zagrożeń, podatności i unikalnych wyzwań sklasyfikowanych do tej pory w aplikacjach opartych na LLM. Jaka jest ich natura i możliwe wykonanie ataków, ale także sposoby, w jakie programiści i architekci mogą próbować je złagodzić przy projektowaniu i wdrażaniu systemów.
W wielu usługach klient stoi przed wyborem: albo będą wykonane szybko, albo dobrze, albo tanio. Ale w stosunku do IT oczekiwania są takie, że będzie wszystko na raz: szybko i dobrze (bezpiecznie), przy zachowaniu rozsądnych kosztów. Czy możliwe jest jednoczesne utrzymanie wysokiego tempa i odpowiedniego poziomu security? Czy jesteśmy skazani na DevSecOps? Czy pojawiające się wytyczne odnośnie bezpieczeństwa oprogramowania przełożą się na realną poprawę cyberbezpieczeństwa, czy będą martwym wymogiem biurokratycznym?