Привет, друзья!

Суровые инженеры молча ставят патчи и выстраивают сложнейшие архитектуры под миллионные нагрузки. А еще думают: «Как это все не развалить при первой же атаке?». Вот об этом сегодня и поговорим.

---

Микросекьюрити в микросервисах
Когда-то вы думали, что в образах контейнеров все чисто? Сейчас будет больно. Алексей Морозов разложит по полочкам ключевые уязвимости продуктовых микросервисов, расскажет про ошибки, которые допускают даже опытные команды, и покажет, как их чинить. Все на реальных кейсах: ASP.NET, Python, Java, Go, уязвимости в IaC, интеграциях, окружениях и не только.

▶️ Смотреть видео

Эволюция аутентификации в SSH: от ключей до сертификатов
Когда-то было просто: ключ положил — и работай. Теперь — борьба с легаси, уязвимостями и необходимостью масштабировать доступы. Как в Яндексе перешли с ключей на сертификаты, с какими проблемами столкнулись и почему это стоит того, расскажет Эльдар Заитов.

▶️ Смотреть видео

Security Gate: 1500 сканов в день и 6 тыс. проектов — на одной платформе
Как построить свою оркестрацию SAST- и SCA-инструментов, если DefectDojo отказывается жить? Доклад Игоря Игнатьева о реальном опыте: как команда из трех разработчиков запилила собственную систему анализа, обрабатывает 150 миллионов срабатываний и превращает их в понятные отчеты для разработчиков.

▶️ Смотреть видео

---

Секция «Безопасность» на Saint HighLoad++ 2025

Алексей Морозов — тот самый человек, который не просто читает про CVE, а сам их находит, исследует и показывает, как они работают в реальных продуктах. В своем докладе он разберет актуальные CVE: как исследователи находят уязвимости, что происходит до появления эксплойта в паблике и какие инструменты позволяют распознать опасность вовремя. Поговорим о сканерах, приоритизации, методах оценки и… да, про 0day тоже будет.

Парсинг — это не безобидная аналитика, а вполне себе атака. Арсений Савин расскажет, как эволюционировали методы скрапинга, какие технологии используют злоумышленники, и как построить защиту, которая не сломает ваш прод. Браузерные эмуляции, анализ поведения, CAPTCHA, rate limiting, AI-механизмы — в докладе вы найдете и технические детали, и стратегию. Плюс кейсы из практики.

Когда в одной системе смешаны устаревший SDK, LDAP, SSO-агенты, разные форматы входа, и все это надо заменить на современный OAuth2 / OIDC — это не проект, это эпос. Дмитрий Ларионов покажет, как он и его команда прошли этот путь: от аудита до внедрения, от распутывания старого кода до архитектуры нового решения. В докладе будет много о безопасной миграции, рекомендациях OWASP и о том, как удержаться от желания все переписать заново (но при этом почти все переписать заново).

Сегодня API — это удобство для клиента и лакомый кусок для атакующих. Лев Палей поделится опытом построения защиты API в высоконагруженных системах, покажет плюсы и минусы позитивной и негативной моделей, расскажет, как это все вписать в CI/CD. Также разберет кейс внедрения в СберАвто и объяснит, почему без комплексной защиты API даже самая красивая архитектура разваливается.

---

🚛 Тягач без водителя

На Saint HighLoad++ 2025 можно будет вживую посмотреть на уникальную российскую разработку — прототип автономного магистрального тягача L5 от технологической компании Navio. Вы не просто услышите про будущее — вы его увидите!

🚛 В L5 в принципе нет рабочего места водителя. Он предназначен для дорог общего пользования, а пока проходит испытания в лабораторных условиях и на полигоне — где его испытывают в самых сложных дорожных сценариях как в реальности, так и в симуляциях vehicle-in-the-loop.

🔥 Приходите на конференцию, и вы сможете познакомиться с AI-водителем L5, задать вопросы экспертам и вдохновиться транспортным средством будущего.

Забронировать билет на Saint HighLoad++ 2025

---

🗓 Онлайн-встреча TeamLead Conf — 5 июня в 18:00

TeamLead Conf 2025 — для тех, кто выстраивает процессы, развивает команду и хочет приносить реальную пользу бизнесу, а не управлять наугад или изобретать велосипеды.

5 июня — встреча с Программным комитетом и докладчиками.
Обсудим, какие темы будут в программе и что сейчас волнует тимлидов:

🔹 оптимизация процессов, затрат и взаимодействий
🔹 наем, стажировки, вовлечение и «это не моя работа»
🔹 культура, ИИ, разница поколений, внутренняя политика
🔹 продуктовый и инженерный подход — как договориться
🔹 самоопределение, жизнь после IT, визионерский взгляд

Расскажем, что ищем в докладах и как подать заявку. CFP открыт до 20 июля.

Участие свободное — нужна только регистрация:

Зарегистрироваться