Скачать с ютуб Алексей Жуков "Безопасная разработка на потоке, или Как улучшить безопасность ПО" в хорошем качестве

Алексей Жуков "Безопасная разработка на потоке, или Как улучшить безопасность ПО"

Когда разработка ставится на поток из-за высокого спроса на услуги и продукты, все больше разработчиков стремятся выстроить ее более гибко и эффективно, внедряют процессы непрерывной интеграции и поставки (CI/CD). Обеспечение безопасности разрабатываемого ПО — неотъемлемая часть такого процесса. Нужно точно и без отрыва от производства определять и устранять риски безопасности — уязвимости. Но как показывает практика, здесь есть две проблемы. Первая — анализ качества кода ошибочно считают достаточной мерой для проверки ПО в том числе на риски безопасности. Вторая — те, кто понимают, что этого недостаточно и прибегают к инструментам анализа защищенности сталкиваются с трудностью: мало просто найти уязвимости, их нужно верифицировать (подтвердить, что это не ложное срабатывание), ведь только в этом случае уязвимость можно исправить. Усугубляет проблему тот факт, что верификация в большинстве случаев делается вручную, а с учетом того, что число уязвимостей может достигать сотен и тысяч, не просто эффективность, но в целом целесообразность поддержки процесса CI/CD оказывается под большим вопросом. В своем докладе я расскажу, как сделать так, чтобы в реалиях непрерывности процесса, больших объемов и горящих дедлайнов дефекты безопасности не остались незамеченными, а процесс их верификации не превратился в бутылочное горлышко. Мы подробно поговорим о том, как грамотно автоматизировать процесс обеспечения безопасности ПО, не снижая — а даже повышая эффективность выполнения основных задач.