DevSecOps часть 2: анализ безопасности исходного кода

Дата: 31.03.2021. Автор: Web Control. Категории: Подкасты и видео по информационной безопасности

#DevSecOps​ #АнализБезопасностиИсходногоКода​ #AMLive​
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru​), проходившей 26 марта 2021 года, на которой эксперты поговорили о специализированных анализаторах (сканерах), помогающих разработчикам обнаруживать недекларированные возможности и ошибки в исходном коде.

Модератор:
• Андрей Бешков, руководитель направления развития бизнеса Softline

Участники:
• Анна Архипова, ведущий менеджер по развитию продуктовых решений ITD Group
• Сергей Деев, менеджер продукта Solar appScreener, «Ростелеком-Солар»
• Дарья Орешкина, директор по развитию бизнеса Web Control
• Алексей Жуков, эксперт отдела систем защиты приложений, Positive Technologies
• Валерий Куваев, архитектор решений Fortify, Micro Focus
• Артём Синицын, старший руководитель программ ИБ в Центральной и Восточной Европе, Microsoft

Ключевые вопросы:

1. Рынок анализаторов безопасности исходного кода

• Зачем проверять исходный код на безопасность?
• Почему недостаточно проводить аудит безопасности готового ПО?
• Чем SAST отличается от DAST и кто из них лучше?
• Как безопасно использовать открытое программное обеспечение (open source)?
• Как правильно проводить аудит безопасности кода, подготовленного сторонними поставщиками?
• Как анализ безопасности кода помогает в выполнении государственных и отраслевых стандартов?

2. Технические особенности анализаторов безопасности исходного кода

• Откуда брать базы уязвимостей?
• Как понять, какие из обнаруженных ошибок в коде обязательно нужно править, а какие можно пропустить? (ошибка != уязвимость)
• На какие рекомендации по устранению уязвимостей и ошибок в коде можно рассчитывать?
• Какие языки программирования поддерживаются сканерами?
• Можно ли анализировать на безопасность скрипты для корпоративных и производственных систем?
• Как проводить анализ, если подрядчик не раскрывает исходный код?

3. Внедрений анализаторов безопасности исходного кода

• Как убедить разработчиков править свой код?
• Можно ли использовать готовые наборы правил из коробки?
• Насколько необходимо настраивать анализаторы под свою специфику разработки?
• Какая необходима интеграция анализаторов кода с другими системами?

4. Тренды и прогнозы развития рынка

• Что ожидает рынок в перспективе 2-3 года?
• Как новые подходы к разработке повлияют на этот рынок?
• Будут ли SAST и DAST все больше доступны в виде сервиса из облака?

Записи других прямых эфиров AM Live
https://www.youtube.com/playlist?list…

Web Control

Об авторе Web Control

Компания Web Control – российский дистрибьютор специализированных решений систем управления внутренней безопасностью и оптимизации сетей.
Читать все записи автора Web Control

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *