SAST, борьба с потенциальными уязвимостямиБезопасность, DevSecOps

Доклад принят в программу конференции
Андрей Карпов
PVS-Studio

Андрей Карпов является техническим директором и попутно евангелистом команды PVS-Studio: занимается продвижением методологии статического анализа кода. Также активно публикует статьи, посвященные разработке качественного программного кода. Блог на сайте Хабрахабр: https://habrahabr.ru/users/andrey2008/

Тезисы

Доклад посвящен статическому анализу кода и ориентирован на тех, кто заинтересован в надёжности и безопасности разрабатываемого в компании программного кода.

Условно можно выделить два направления статического тестирования защищённости приложений. Первый - это поиск уже известных уязвимостей методом сопоставления с шаблоном. Такой подход имеет право на существование и может обнаружить в вашем проекте код, взятый из старой библиотеки, подверженной определённой уязвимости. Второе направление - это выявление в новом коде участков кода, содержащих дефекты с точки зрения безопасности, то есть потенциальные уязвимости. Второе направление будет рассмотрено более подробно, а также будет рассказано что означают термины CWE, CVE и какая между ними связь.

Дополнительно обсудим тему внедрения SAST в цикл разработки программного обеспечения, что может представлять интерес для DevSecOps-специалистов.

Другие доклады секции Безопасность, DevSecOps