На площадке Россельхозбанка состоялся четвертый митап Сообщества FinDevSecOps, посвященный подведению итогов первого DevSecOps-хакатона.
Открыл мероприятие заместитель Председателя Правления РСХБ Николай Ульянов. Он отметил, что в последние годы происходит неразрывное сращивание ИТ и информационной безопасности и это, несомненно, идет на пользу продуктам, проектам и клиентам. Николай подчеркнул, что один из вызовов для выстраивания современного процесса DevSecOps — встраивание технологий ИИ, поэтому важно и дальше развивать сотрудничество между ИТ и ИБ.
Максим Григорьев, генеральный директор Ассоциации Финтех (организатора хакатона и создателя FinDevSecOps), в приветственном слове напомнил, что идея создания центра компетенций по безопасной разработке и формирования Сообщества FInDevSecOps зародилась на встрече 23 декабря 2022 года, а уже сейчас мы видим важные для рынка результаты работы. Для развития российского финтех-рынка необходима консолидация усилий ведущих отраслевых DevSecOps-экспертов для развития процессов безопасной и эффективной разработки отраслевых ИТ-решений. Именно такую работу ведет Сообщество FinDevSecOps.
В DevSecOps-хакатоне приняли участие 11 команд, представляющих российские банки и ИБ-компании, а также ведущие российские вузы, где обучаются будущие ИБ-специалисты. 7 команд вышли в финал. Участников оценивало экспертное жюри из семи представителей отечественного финтеха и лидеров FinDevSecOps. Председатель жюри — заместитель начальника управления финансовых операций и банковского обслуживания, лидер внедрения безопасной разработки в Банке России Михаил Кожокарь.
Всем командам хакатона было выдано задание с детальным описанием задачи:
На митапе все 7 команд, дошедшие до финала, представили презентации с описанием выполненного задания. Работы оценивались жюри по нескольким критериям: покрытие security-проверками всех этапов жизненного цикла разработки, использование решений из различных практик DevSecOps, качество тонкой настройки инструмента, устранение найденных высоких / критических уязвимостей, предоставление POC (proof of concept) и описание необходимости (значимости) устранения уязвимости, соответствие ГОСТ 56939 (разделы с 5.3 по 5.21), возможности к масштабированию решения и сложность технической поддержки решения.
По итогам финального обсуждения и проверки результатов работы каждой команды жюри определил следующих победителей:
I место — команда SwordfishSecurity.
II место — команда Ростелекома.
III место — команда РСХБ.
Лучшая студенческая команда — МГТУ им. Баумана.
Команды-победители были награждены памятными знаками, сертификатами на обучение по тематике безопасной разработки, а также фирменным мерчем партнеров хакатона.
Также в рамках митапа были подведены итоги работы Сообщества FinDevSecOps в 2024г. и представлены планы на 2025 год.
Максим Григорьев вручил памятные знаки «Основатель» организациям-участникам АФТ, которые присоединились к Сообществу в последние полгода. Знаки получили представители БазальтСПО, SwordfishSecurity, Синара Банк, Арт-финтех, Совкомбанк, Альфа-Банк, АльфаСтрахование, Капитал Лайф Страхование Жизни, Банк «Русский стандарт».
Идеолог и сооснователь FDSO, CPO платформы разработки MOEX Group Карапет Манасян, представил итоги работы Сообщества. Среди них: 3 крупных митапа и 5 практических воркшопов, разработка 2 значимых артефактов (типовой процесс безопасной разработки, а также Инструменты DevSecOps), расширение Сообщества (19 компаний-участников, 11 активных лидеров сообщества, больше 100 участников-экспертов).
Карапет вручил памятные знаки четырем новым лидерам Сообщества. Ими стали: Мария Зубченко, Yandex Cloud, Александр Гадай, SwordfishSecurity, Степан Дудник, Высокие цифровые технологии, Дмитрий Пузырев, MOEX, Федор Герасимов, Холдинг Т1 — ГК Иннотех.
А также вместе с руководителем управления развития технологий АФТ Олегом Моргуном рассказал о задачах FinDevSecOps на 2025г год:
Создание базы знаний сообщества.
Создание методологии безопасной разработки в финтехе на базе типового процесса.
Развитие совместных проектов в Репозитории АФТ.
Запуск курсов по безопасной разработке.
Бенчмаркинг по инструментам и практикам.
В рамках митапа Руководитель направления ИБ в РСХБ-Интех Андрей Маслов рассказал участникам митапа о практике использования инструментов динамического анализа кода и перспективах развития DevSecOps процессов при разработке ИТ-решений для РСХБ.
Источник: habr.com