25 августа с 3-ей попытки состоялась конференция Zeronigths 10. Конференция проходила с утра и до позднего вечера, в один день, вот - программа. Раньше видео докладов по конференции нужно было ждать довольно долго, а сейчас материалы уже давно доступны, как видео, так и презентации. Это не может не радовать всех, кто как и я не смогли посетить мероприятие. Обзор конференции будет совсем небольшим и немного однобоким, расскажу только про то, что заинтересовало меня, в основном из секции “Defensive Track”. Сначала про FlipperZero. Как я понимаю, он практически готов и вот-вот поступит в продажу, первые пользователи получат его уже в этом году. На Zeronigths FlipperZero было много.

Первый интересный доклад был от Яндекса, Опыт внедрения статического анализа в большой организации. К сожалению, это практически единственный доклад, по которому нет ни видео, ни презентации. Но даже аннотация к докладу была познавательна. Я только из нее узнал, про инструмент Semgrep. По мотивам этого доклада сделал небольшой research и выяснил, что инструмент CodeQL, также упоминаемый в аннотации, можно применять и локально. Semgrep - тоже штука интересная, но поддержка С\С++ пока только в разработке, поэтому с изучением подожду.

И второй интересный доклад от Дениса Ефремова CVEhound: проверка исходников Linux на известные CVE про детектирование уязвимостей по исходникам ядра Linux с использованием инструмента семантического “патчинга” Coccinelle. На данный момент есть детекты более чем на две сотни CVE. Проект действительно стоящий. Надеюсь удастся поучаствовать в нем более активно, одному человеку поддержку всех уязвимостей ядра без сверхчеловеческих усилий не потянуть. Презентация доступна по ссылке.

Пока все.