У нас было 2 анализатора кода, 4 инструмента для динамического тестирования, свои поделки и 250 скриптов. Не то, чтобы это всё было нужно в текущем процессе, но раз начал внедрять DevSecOps, то иди до конца.

Доклад посвящен проблемам перехода от классической модели Application Security к процессу DevSecOps. Разберем, как правильно подойти к встраиванию процесса безопасной разработки в процесс DevOps и как при этом ничего не сломать. Проясним основные этапы тестирования на безопасность, какие инструменты можно применять, посмотрим, чем они отличаются и как их правильно настроить. Ну и, конечно же, подводные камни, которые встречаются в любом процессе, попробуем их избежать или хотя бы подготовиться к столкновению.

Ещё покажу, как это работает в реальной жизни на примере процессов внутри нашей компании.