Страх и ненависть DevSecOpsБезопасность, DevSecOps

Доклад принят в программу конференции
Юрий Шабалин
Swordfish Security

Более 7 лет опыта в индустрии информационной безопасности. Отвечает за
внедрение SSDL, общую интеграцию инструментов анализа приложений в единую экосистему разработки и тестирования.

Спикер международных конференций по информационной безопасности.

Любитель анализа мобильных приложений, особенно на платформе Android

yshabalin@swordfishsecurity.com
Тезисы

У нас было 2 анализатора кода, 4 инструмента для динамического тестирования, свои поделки и 250 скриптов. Не то, чтобы это всё было нужно в текущем процессе, но раз начал внедрять DevSecOps, то иди до конца.

Доклад посвящен проблемам перехода от классической модели Application Security к процессу DevSecOps. Разберем, как правильно подойти к встраиванию процесса безопасной разработки в процесс DevOps и как при этом ничего не сломать. Проясним основные этапы тестирования на безопасность, какие инструменты можно применять, посмотрим, чем они отличаются и как их правильно настроить. Ну и, конечно же, подводные камни, которые встречаются в любом процессе, попробуем их избежать или хотя бы подготовиться к столкновению.

Ещё покажу, как это работает в реальной жизни на примере процессов внутри нашей компании.

Другие доклады секции Безопасность, DevSecOps