Внедрение SAST: теория vs практикаБезопасность, DevSecOps
Руководитель отдела разработки Solar appScreener в компании Ростелеком-Solar. Solar appScreener является статическим анализатором исходного и бинарного кода по требованиям информационной безопасности. Ранее Ярослав работал над разработкой модулей статического анализа кода, включая инструменты обратной разработки, и проводил множество аудитов безопасности кода для различных типов приложений. Написал кандидатскую диссертацию по анализу приложений для платформы Android, а также участвовал в нескольких выступлениях и публикациях, посвященных теме безопасности приложений, включая реверс-инжиниринг и статический анализ.
На данный момент статический анализ (SAST) для поиска уязвимостей становится неотъемлемой частью контроля качества кода. Задачи внедрения инструментов статического анализа в цикл разработки становятся все более актуальными. Однако при практическом использовании возникает ряд технических и организационных трудностей, которые необходимо решать в рамках внедрения инструментов.
На докладе будут рассмотрены основные вопросы, которые возникают при внедрении SAST. Основным техническим аспектом является сложность алгоритмов, лежащих в основе инструментов. Отсюда вытекают потребности в ресурсах и времени для проведения анализа, а также неточные результаты сканирования. Будут рассмотрены технические сложности использования инструментов и пути решения этих сложностей.
Важной частью доклада является рассказ об основных организационных моментах, которые необходимо предусмотреть перед построением процесса безопасной разработки. Мы расскажем, почему недостаточно установить инструмент, а необходимо строить процесс его использования. По опыту построения таких процессов мы выделили основные подводные камни, которые необходимо учитывать в начале пути.
В процессе доклада будут приведены примеры из опыта внедрения инструментов SAST.