Современные инструменты статического анализа на страже безопасности кодаБезопасность, DevSecOps
C#-разработчик в команде PVS-Studio. Участвует в разработке ядра C#-анализатора, занимается созданием новых диагностик и DevOps-утилит. Автор статей о проверке opensource-проектов.
В докладе я расскажу о важности сочетания различных методик программирования и технологий проверок кода для повышения качества кода.
Я уделю внимание важной технологии, которую, к сожалению, до сих пор часто игнорируют при разработке проектов. Речь идёт о преимуществах SAST (Static Application Security Testing) для разработки безопасных и надёжных приложений. Расскажу о преимуществах и ограничениях статического анализа. Приведу фрагменты кода (с ошибками, ставшими уязвимостями) из реальных проектов. Поговорим, почему современные статические анализаторы — это совсем не то же самое, что "линтеры", про которые многие слышали ещё 15 лет тому назад.