Конференция завершена. Ждем вас на РИТ++ в следующий раз!
Купить доступ к видеозаписям
* Мы откроем публичный доступ к видеозаписям через ~6 месяцев после конференции

Внедрение SAST: теория vs практикаБезопасность, DevSecOps

Доклад принят в программу конференции
Ярослав Александров
Ростелеком-Solar

Руководитель отдела разработки Solar appScreener в компании Ростелеком-Solar. Solar appScreener является статическим анализатором исходного и бинарного кода по требованиям информационной безопасности. Ранее Ярослав работал над разработкой модулей статического анализа кода, включая инструменты обратной разработки, и проводил множество аудитов безопасности кода для различных типов приложений. Написал кандидатскую диссертацию по анализу приложений для платформы Android, а также участвовал в нескольких выступлениях и публикациях, посвященных теме безопасности приложений, включая реверс-инжиниринг и статический анализ.

Тезисы

На данный момент статический анализ (SAST) для поиска уязвимостей становится неотъемлемой частью контроля качества кода. Задачи внедрения инструментов статического анализа в цикл разработки становятся все более актуальными. Однако при практическом использовании возникает ряд технических и организационных трудностей, которые необходимо решать в рамках внедрения инструментов.

На докладе будут рассмотрены основные вопросы, которые возникают при внедрении SAST. Основным техническим аспектом является сложность алгоритмов, лежащих в основе инструментов. Отсюда вытекают потребности в ресурсах и времени для проведения анализа, а также неточные результаты сканирования. Будут рассмотрены технические сложности использования инструментов и пути решения этих сложностей.

Важной частью доклада является рассказ об основных организационных моментах, которые необходимо предусмотреть перед построением процесса безопасной разработки. Мы расскажем, почему недостаточно установить инструмент, а необходимо строить процесс его использования. По опыту построения таких процессов мы выделили основные подводные камни, которые необходимо учитывать в начале пути.

В процессе доклада будут приведены примеры из опыта внедрения инструментов SAST.

Другие доклады секции Безопасность, DevSecOps