Безопасная разработка аппаратного ПО: как снизить риски в железе?

BIOS, BMC, цепочки поставок, безопасная разработка, аппаратное обеспечение, харденинг, информационная безопасность, уязвимости, анализ кода, отечественные вендоры, ITIS Conf 2025, Аквариус. В интервью с Константином Закатовым, директором департамента информационной безопасности компании «Аквариус», обсуждаем, как устроена безопасная разработка встроенного ПО, почему BIOS и BMC — критические точки в инфраструктуре, и как избежать фатальных ошибок ещё на этапе проектирования «железа». Разговор записан в мобильной студии AM Live на конференции ITIS Conf 2025 в Екатеринбурге. Беседу провел — Илья Шабанов, генеральный директор АМ Медиа. ⸻ Кому будет полезно это интервью • ИБ-специалистам, которые работают с аппаратной частью и встроенным ПО • DevSecOps-инженерам и архитекторам, отвечающим за безопасность разработки • Производителям и интеграторам, выстраивающим процесс безопасного релиза • Заказчикам, выбирающим защищённые решения и оценивающим риски поставок • Всем, кто хочет понять, почему «железо» — это не просто платформа, а потенциальный вектор атаки ⸻ Навигация по тайм-кодам 00:00 — Введение. Почему разговор о безопасной разработке важен 01:20 — Как встроенное ПО отличается от обычного софта 02:30 — Особенности BIOS и BMC: почему обновлять их сложно 03:40 — Риски при атаках на встроенное ПО 04:45 — Как работают с цепочками поставок и вендорским контролем 06:00 — Заводские уязвимости как последствия глобальных процессов 07:20 — Open source и безопасность: как...