Алексей Жуков "Безопасная разработка на потоке, или Как улучшить безопасность ПО"
Вставка
- Опубліковано 30 лис 2018
- Когда разработка ставится на поток из-за высокого спроса на услуги и продукты, все больше разработчиков стремятся выстроить ее более гибко и эффективно, внедряют процессы непрерывной интеграции и поставки (CI/CD). Обеспечение безопасности разрабатываемого ПО - неотъемлемая часть такого процесса. Нужно точно и без отрыва от производства определять и устранять риски безопасности - уязвимости. Но как показывает практика, здесь есть две проблемы. Первая - анализ качества кода ошибочно считают достаточной мерой для проверки ПО в том числе на риски безопасности. Вторая - те, кто понимают, что этого недостаточно и прибегают к инструментам анализа защищенности сталкиваются с трудностью: мало просто найти уязвимости, их нужно верифицировать (подтвердить, что это не ложное срабатывание), ведь только в этом случае уязвимость можно исправить. Усугубляет проблему тот факт, что верификация в большинстве случаев делается вручную, а с учетом того, что число уязвимостей может достигать сотен и тысяч, не просто эффективность, но в целом целесообразность поддержки процесса CI/CD оказывается под большим вопросом.
В своем докладе я расскажу, как сделать так, чтобы в реалиях непрерывности процесса, больших объемов и горящих дедлайнов дефекты безопасности не остались незамеченными, а процесс их верификации не превратился в бутылочное горлышко. Мы подробно поговорим о том, как грамотно автоматизировать процесс обеспечения безопасности ПО, не снижая - а даже повышая эффективность выполнения основных задач. - Наука та технологія
