Одной из важных проблем в обеспечении безопасности информационных систем является качество программного кода сервиса или продукта с точки зрения безопасности сервиса для информационной системы.
Что такое безопасность прикладного программного продукта или сервиса? Это в первую очередь отсутствие возможностей с использованием программного продукта обойти правила и ограничения информационной системы пользователя. Другим важным элементом является отсутствие возможностей у пользователя изменить логику работы программы непредусмотренным автором способом, позволяющим получить доступ к данным в обход имеющимся системам разграничения доступа или повлиять на работоспособность системы в целом.
К сожалению, идея написания безопасного кода никогда не была приоритетной в большинстве software компаний.
Совместно с кадровым агентством Сухорукова мы придумали устроить соревнования программистов по безопасному программированию. Пока мы её попытаемся реализовать в рамках работы Новосибирской Positive Hack Day 21 и 22 мая.
Суть соревнования заключается в том, что мы предоставляем участнику предустановленный web-сервер с php и sql-базой. В день соревнования участникам выдаётся задание на 3 часа по программированию некоего web-сервиса, например, форума или динамической страницы. Победитель определяется среди участников реализовавших наиболее полно конкурсное задание и чей код содержит наименьшее количество уязвимостей.
Мы планируем не ограничивать участников в использовании сторонних библиотек и решений.
Зарегистрироваться для участия в
соревновании можно здесь.