Записи c VulnCon 2024 доступны на Youtube. Я об этой конфе уже писал ранее, она прошла в конце марта.
Там много интересного контента связанного с уязвимостями: их описание, приоритизация, ответственное разглашение, разнообразные связанные стандарты. 🤩 Кейсы про управление уязвимостями в организациях тоже есть. В России такого контента пока маловато. У нас если и говорят об уязвимостях, то скорее обсуждают конкретные ресерчи или атаки, а не то, как работать с уязвимостями более-менее массово и систематически. 😔
Описание докладов также доступно в программе конференции. Там удобно подыскивать интересное, а потом уже смотреть запись в Youtube канале.
Есть там и панельная дискуссия с Tanya Brewer из NIST. Но что-то откровений про кризис NVD, которые ей приписывали в статье по итогам VulnCon ("story behind it, it is long, convoluted and very administrivia" и т.п.) я не нашёл. Искал по автоматическим субтитрам. Ну, может это было сказано не на панельке, а где-то ещё. 🤷♂️
Интересная конфа по Vulnerability Management-у пройдёт в Штатах в конце марта - CVE/FIRST VulnCon 2024 & Annual CNA Summit.
Организаторы там FIRST (которые CVSS и EPSS) и CVEorg (фактически MITRE). Мероприятие платное, но открытое. $100 за онлайн, $250 за оффлайн. 💵 Ставят целью разобраться в экосистеме Vulnerability Management-а: какие важные стейкхолдеры и программы там есть, как можно эту экосистему улучшать. Среди спонсоров больших VM-вендоров (пока?) нет. Только нишевые Nucleus и VulnCheck.
До 31 января открыт CFP по темам: идентификаторы и бюллетени уязвимостей, фреймворки для оценки уязвимостей, инструменты для координированного раскрытия уязвимостей, базы уязвимостей, SBoMы и VEXы (Vulnerability EXchange), атаки на цепочки поставок, способы борьбы с классами уязвимостей. 🔥🤩
Думаю подаваться на CFP из России, с учётом текущих реалий, дело малоперспективное (только если по фану 😅).
Нам в России тоже такое неплохо было бы проводить. В контексте БДУ ФСТЭК, например.
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.
