Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Даром преподаватели время со мною тратили…

Positive Development User Group
May 20, 2019
Programming
0
67

Даром преподаватели время со мною тратили…

Доклад Александра Чернова (Moscow State University) и Екатерины Трошиной (Higher School of Economics) для PDUG-секции на форуме PHDays 9.

Positive Development User Group

May 20, 2019
Tweet

More Decks by Positive Development User Group

See All by Positive Development User Group
JavaScript: анализируем динамику статикой
pdugslides
0
27
SAST, CWE, SEI CERT и другие умные слова из мира информационной безопасности
pdugslides
0
180
Уязвимости в процессе десериализации в .NET: прошлое, настоящее и будущее
pdugslides
0
32
Как создать GDPR-compliant-продукт
pdugslides
0
49
Актуальные вопросы безопасности Android-приложений
pdugslides
1
100
Конвейер непрерывной проверки приложений на безопасность
pdugslides
0
35
Построение процесса безопасного программирования
pdugslides
1
73
Моделирование угроз: делаем вовремя вместе с командой разработки
pdugslides
0
56
(Не)формальный risk assessment: риски безопасности, понятные бизнесу и разработчикам
pdugslides
0
38

Other Decks in Programming

See All in Programming
飲食業界向けマルチプロダクトを実現させる開発体制とリアルな現状
hiroya0601
1
390
カスタムしながら理解するGraphQL Connection
yanagii
1
1.2k
Synchronizationを支える技術
s_shimotori
1
150
Realtime API 入門
riofujimon
0
100
/←このスケジュール表に立ち向かう フロントエンド開発戦略 / A front-end development strategy to tackle a single-slash schedule.
nrslib
1
590
Nuxt UI Pro、NuxtHub、Nuxt Scripts、Nuxtエコシステムをふんだんに利用して開発するコーポレートサイト@Vue Fes Japan 2024
shingangan
3
880
Dev ContainersとGitHub Codespacesの素敵な関係
ymd65536
1
120
Modern Angular: Renovation for Your Applications
manfredsteyer
PRO
0
200
Vue SFCのtemplateでTypeScriptの型を活用しよう
tsukkee
3
1.5k
Why Spring Matters to Jakarta EE - and Vice Versa
ivargrimstad
0
950
デプロイを任されたので、教わった通りにデプロイしたら障害になった件 ~俺のやらかしを越えてゆけ~
techouse
52
32k
Server Driven Compose With Firebase
skydoves
0
390

Featured

See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
32
1.8k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
107
49k
Statistics for Hackers
jakevdp
796
220k
Being A Developer After 40
akosma
86
590k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Thoughts on Productivity
jonyablonski
67
4.3k
For a Future-Friendly Web
brad_frost
175
9.4k
Ruby is Unlike a Banana
tanoku
96
11k
Intergalactic Javascript Robots from Outer Space
tanoku
268
27k
GraphQLの誤解/rethinking-graphql
sonatard
66
9.9k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
504
140k

Transcript

  1. Заголовок ptsecurity.com Даром преподаватели время со мною тратили… ФКН ВШЭ,

    ВМК МГУ к.ф.-м.н. К.Н. Трошина, к.ф.-м.н. А.В. Чернов

  2. Заголовок 2 Уточним: Откуда берутся разработчики, которые «умеют выполнять безопасную

    разработку ПО», А еще лучше… Откуда берутся разработчики, которые понимают, что значит безопасная разработка ПО? Откуда берутся разработчики?

  3. Заголовок 3 • Разработчики самозарождаются на производстве? • Вчерашний студент

    приходит после вуза и трансформируется в настоящего разработчика? • Из вуза приходит специалист? Откуда берутся разработчики?

  4. Заголовок 4 • Навык «безопасной разработки» – это … •

    Доучивать проще, чем переучивать • Принцип есть принцип Причем здесь высшее образование?

  5. Заголовок 5 • 1 и 2 курс, до выбора специализации.

    • читаются всем • всегда курсы «вчерашнего» дня • ораничены по времени • не требуют полного покрытия материала Базовые курсы Даже базовые курсы стоит ребутить где-то раз в 5 лет…

  6. Заголовок 6 Место безопасной разработки в базовых курсах… • введение

    в программирование, язык программирования • алгоритмы • архитектура компьютера и операционные системы Базовые курсы

  7. Заголовок 7 • Триада: • архитектура • операционные системы •

    языки программирования  Архитектура: x86, x64, armv7, armv8, …  ОС: win, linux  ЯП: — предмет ожесточенных «дискуссий» Базовые концепции

  8. Заголовок 8 • python/C++, C++, C, java/C++… • Разные курсы

    – разные требования:  Введение в программирование — легкость обучения, простота концепций  Алгоритмы — выразительная сила  Архитектура компьютера, операционные системы — близость к компьютеру Базовый язык программирования

  9. Заголовок 9  C? C++? rust?  С++ в качестве

    языка системного программирования?  Слишком сложный  Местами сложное отображение в инструкции процессора  Все равно требует знания Си для правильного использования  Rust – пока «темная лошадка», мало материалов  Язык ассемблера при АКОС?  Важен, но язык ассемблера не должен быть самоцелью, язык ассемблера не имеет самостоятельной ценности  Основной язык в курсе ОС — Си, с экскурсами в ассемблер при рассмотрении архитектур компьютеров Язык для курса архитектуры компьютера и операционных систем?

  10. Заголовок 10 Использование C++ без понимания C

  11. Заголовок 11 Безопасная разработка должна прививаться начиная с первого дня

    обучения, но курс АКОС— это курс, который должен ставить безопасную разработку одной из целей и должен постоянно поддерживать внимание к ней. Безопасная разработка в рамках курса ОС

  12. Заголовок 12  Представление целых чисел, UB при операциях над

    целыми числами, безопасное использование  В C/C++ 20 наконец-то обещают выпилить все представления, кроме two“s complement  Есть надежда, что сдвиги из UB перейдут хотя бы в Implementation Defined  Где контролируемые арифметические операции???  Строки и буферы. UB при выходах за пределы массива. Переполнения буфера и его последствия.  Динамическая память. UB при use after free, double free, динамическая память и unsigned integer overflow Syllabus

  13. Заголовок 13  Компоновка программы и загрузка программы на исполнение.

    Секции исполняемого кода. Подгрузка динамических библиотек. Подмена указателей на функции в таблицах.  Работа процесса в многопроцессном многопользовательском окружении. Race conditions при работе с файловой системой. Безопасное функционирование процесса в недоверенном окружении.  Безопасный запуск программ на исполнение. Иньекции параметров командной строки. Syllabus

  14. Заголовок 14 Знание операционной системы важно

  15. Заголовок 15  Безопасная разработка кода должна прививаться с самого

    начала профессионального обучения программированию.  Соответствующий взгляд на программирование должен постоянно акцентироваться на всех формах занятий.  Основные ошибки, приводящие к уязвимостям, должны объяснятся вплоть до самого низкого уровня.  Все это может способствовать тому, что выпускники, даже не специализирующиеся в системном программировании, будут осведомлены о безопасном программировании. «Правильный» базовый курс

  16. Заголовок 16  Научить надо многому, а времени мало 

    Обработка ошибок  Тестирование Что в реальности

  17. Заголовок 17  Базовый курс должен дальше продолжится специальным курсом

    по ИБ  Безопасная разработка – это «стиль мышления» программиста  Разработчик ПО – это  Не офицер ИБ  Не специалист по CI  Не реверсер  Не пентестер  … Заключение

  18. Заголовок 18  https://github.com/hseos/hseos-course  https://caos.ejudge.ru/ Ссылки