Мнение Программного комитета о докладе
Внедрение SAST для обеспечения безопасности часто наталкивается на проблему непонимания, как именно работает инструмент. В докладе объясняются принципы работы на примерах без привязки к производителю.
Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности
Доклад принят в программу конференции
Целевая аудитория
Доклад может быть интересен разработчикам, DevSecOps-специалистам. Всем, кто так или иначе сталкивается с SAST, но работает с ним "снаружи". То есть в целом — интересующимся тем, что происходит под капотом SAST-решений, прежде чем те выдадут предупреждение об очередном дефекте безопасности.
Тезисы
С использованием SAST-решений как чёрного ящика более или менее всё понятно — установили baselining, включили нужные чекеры и прочие необходимые настройки. Актуальные предупреждения правим, false positives давим.
Но что происходит "за кулисами", прежде чем анализатор выдаст предупреждение о дефекте безопасности? Работа с синтаксисом, семантикой, data-flow, taint checking — как всё это помогает искать те или иные проблемы?
В ходе доклада мы приоткроем эту завесу. Ответим на обозначенные выше вопросы, разберём примеры реальных дефектов безопасности и того, как SAST-решения их обнаруживают и с какими проблемами могут сталкиваться в ходе работы.
Head of DevRel в PVS-Studio. Участвует в разработке и продвижении статического анализатора около 8 лет. Выступает на конференциях, пишет на тему C#, .NET, security и не только.
PVS-Studio
PVS-Studio – команда профессионалов, которая разрабатывает статический анализатор. Наш инструмент помогает находить ошибки и дефекты безопасности в исходном коде программ на C, C++, C# и Java. Используя анализатор PVS-Studio вы сможете фокусироваться на проектах, не тратя время на поиск ошибок и потенциальных уязвимостей.
Видео
Другие доклады секции
Про security
