Безопасность vs скорость выпуска – главный конфликт современной разработки. Как его преодолеть?
Как все начиналось с пентестов после релиза и во что превратилась современная концепция DevSecOps.
В гостях:
Буркэ Артем, ведущий инженер испытательной лаборатории НТЦ Фобос-НТ. Лид направления статического анализа.
Слепых Андрей, ведущий инженер испытательной лаборатории НТЦ Фобос-НТ. Занимается определением поверхности атаки ПО и анализом безопасности контейнеров.
О чём:
• Статический анализ кода (SAST) для поиска уязвимостей до компиляции;
• Динамический анализ (DAST) и анализ состава зависимостей (SCA). «Токсичные» библиотеки, проблемы лицензий;
• Что такое «левый сдвиг» (Shift Left) и почему он необходим каждому инженеру, а не только специалистам по безопасности?
• Модель безопасности STRIDE или безопасность контейнеров;
• Как на практике вроде SonarQube или GitLab с DevSecOps-функциями автоматически находят уязвимости в merge request;
• Важность обучения разработчиков основам безопасности и создания общей ответственности.
Полезные ссылки:
Ресурс центра компетенций ФСТЭК России и ИСП РАН:
https://secure-software.ru/
Блоги разных компаний про практики РБПО:
https://secure-software.ru/blog/
Научные и обзорные статьи по статическому анализу:
https://secure-software.ru/science/staticheskiy-analiz/
Схемка отечественного конвейера РБПО во вложении и ссылка на первоисточник:
https://rbpo.expert/
Описание семейства чатов ФСТЭК России и ИСП РАН:
https://t.me/sdl_community/7859
Сайт НТЦ Фобос-НТ:
https://fobos-nt.ru/
Канал про регуляторику ФСТЭК, ФСБ:
https://t.me/bureaucraticsecurity
