Квартирник по безопасной разработке 2026: честный разговор о DevSecOps, рисках и зрелости

24 марта 2026

19 марта в Москве завершился второй Квартирник по безопасной разработке от УЦСБ. Мероприятие подтвердило: вопросы защиты ПО на этапах создания, поставки и эксплуатации выходят на первый план для ИТ-команд любого масштаба. Первый Квартирник прошел в 2025 году в Екатеринбурге, и высокий интерес участников побудил организаторов масштабировать формат в столицу – в этот раз он собрал около 200 ИТ-специалистов.

Центральным событием стала диванная дискуссия «Как жить с DevSecOps в 2026 году: честный разговор о зрелости, рисках и реальных изменениях». За одним столом объединились эксперты из разных сфер: Евгений Тодышев (УЦСБ), Дмитрий Пономарев (НТЦ «Фобос-НТ», ИСП РАН), Андрей Лагоденко («Домклик»), Вячеслав Касимов («Точка Банк») и Сергей Деев (ИСП РАН). Модератором выступил Всеслав Соленик (СберТех). Участники обсудили, как за последний год изменились подходы к безопасной разработке и какие угрозы стали реальностью. В ходе дискуссии прозвучало, что главный вызов – найти баланс между скоростью выпуска продуктов и требованиями безопасности. В исключительных случаях, когда бизнес-потребность перевешивает потенциальные уязвимости, команды готовы выпустить релиз с открытым риском, но с четким обязательством устранить технический долг. Альтернативный путь — выстраивание коммуникации с внутренним заказчиком через role of product security, который переводит технические риски на язык бизнеса. Отдельное внимание во время обсуждения уделили сертификации по стандартам ФСТЭК России. Эксперты назвали ее быстро набирающим вес инструментом, который уже дает конкурентное преимущество в тендерах. Было отмечено, что практики сертификации ориентированы на рост безопасной разработки и ими нужно заниматься независимо от текущей потребности в самом сертификате.

В технической части программы выступили эксперты с докладами о самых актуальных темах. Антон Прокофьев (Solar appScreener) разобрал, где заканчивается эффективность автоматизации и начинается опасность при использовании ИИ в безопасной разработке. Алексей Смирнов (CodeScoring) предложил комплексный подход к контролю безопасности Open Source, позволяющий снизить нагрузку на команды на всех этапах — от IDE до продуктивной среды. Денис Макрушин (Яндекс) на примере реальных кейсов показал, как LLM расширяют поверхность атаки, и предостерег: «LLM — это руль, который прикрутили к ПО, но им при должной сноровке могут управлять хакеры». Леонид Плетнев (1С-Битрикс) сделал фокус на экономике безопасной разработки, объяснив, как инвестиции в культуру РБПО помогают бизнесу не только снижать риски, но и экономить. Евгений Тодышев (УЦСБ) представил авторскую методику аудита цепочек поставок ПО, основанную на численных метриках и вовлечении бизнеса в оценку активов, а не на субъективных предпочтениях. Этот подход открыт для профессионального сообщества: любой желающий может обратиться в УЦСБ, чтобы ознакомиться с ним и направить свои предложения по доработке.

Параллельно с деловой программой работала выставочная зона, где компании продемонстрировали инструменты для ускорения и повышения качества безопасной разработки. Свои стенды и доклады подготовили: ГК «Солар» (Солар, Luntry, Hexway), УЦСБ, Security Vision, AppSec Solutions, CodeScoring, СберТех, Deckhouse и SASTAV. Организатором квартирника выступил российский системный интегратор УЦСБ, стратегическим партнером — ГК «Солар».

Консолидация продуктов и экспертизы стала одной из центральных тем для обсуждения в рамках дискуссии, докладов и кулуарных бесед мероприятия.

Формат живого общения и открытого диалога второй год подряд доказывает: именно в такой атмосфере рождаются практические решения, которые помогают индустрии двигаться вперед.