Внедрение SAST: теория vs практикаБезопасность, DevSecOps

Программный комитет ещё не принял решения по этому докладу
Ярослав Александров
Ростелеком-Solar

Руководитель отдела разработки Solar appScreener в компании Ростелеком-Solar. Solar appScreener является статическим анализатором исходного и бинарного кода по требованиям информационной безопасности. Ранее Ярослав работал над разработкой модулей статического анализа кода, включая инструменты обратной разработки, и проводил множество аудитов безопасности кода для различных типов приложений. Написал кандидатскую диссертацию по анализу приложений для платформы Android, а также участвовал в нескольких выступлениях и публикациях, посвященных теме безопасности приложений, включая реверс-инжиниринг и статический анализ.

Тезисы

На данный момент статический анализ (SAST) для поиска уязвимостей становится неотъемлемой частью контроля качества кода. Задачи внедрения инструментов статического анализа в цикл разработки становятся все более актуальными. Однако при практическом использовании возникает ряд технических и организационных трудностей, которые необходимо решать в рамках внедрения инструментов.

На докладе будут рассмотрены основные аспекты статического анализа, которые влияют на сложность его использования. Основным аспектом является сложность алгоритмов, лежащих в основе инструментов. Отсюда вытекают потребности в ресурсах и времени для проведения анализа, а также неточные результаты сканирования. Будут рассмотрены технические сложности использования инструментов и пути решения этих сложностей.

Важной частью доклада является рассказ об основных организационных моментах, которые необходимо предусмотреть перед построением процесса безопасной разработки. Мы расскажем, почему недостаточно установить инструмент, а необходимо строить процесс его использования. По опыту построения таких процессов мы выделили основные подводные камни, которые необходимо учитывать в начале пути.

Другие доклады секции Безопасность, DevSecOps