Доклад

С++ и безопасность: правда ли все так плохо?

  • На русском языке
Презентация pdf

Сергей проанализирует недавний отчет NSA и расскажет, так ли плохо обстоят дела с безопасностью в С++ на самом деле и что современная индустрия предлагает для решения этого вопроса.

Он разберет проблемы с безопасностью в С++ на открытых примерах из Chromium, среди которых:

  • работа с памятью;
  • UB;
  • C legacy, строки, арифметика, преобразования типов.

Спикер также покажет различные подходы к митигации описанных проблем, в частности:

  • статический анализ;
  • динамический анализ;
  • фаззинг-тестирование;
  • харденинг;
  • выделение безопасных подмножеств языка: Misra, AUTOSAR, стандарт Google;
  • методология SDL как комплексное решение;
  • (бонус) подход KasperskyOS по определению недоверенных компонентов, допускающих наличие уязвимостей, но без возможности их проэксплуатировать и развить атаку.
  • #security

Спикеры

Приглашенные эксперты

Расписание