Мы открываем новую серию технических вебкастов темой безопасности. Точнее, безопасности при разработке приложений.
Как это было раньше?
Безопасник выступал в роли контролирующего органа, продукт попадал к нему на оценку и согласование уже в конце, когда код написан, интеграционные и UI тесты пройдены, изделие, казалось бы, готово к выпуску в продакшн. Вот тут-то проблемы и начинались.
Разработчик: Я писал с применением популярных легальных open source библиотек.
Безопасник: В вашем коде целый кусок не соответствует требованиям безопасности и дыряв как швейцарский сыр.
В результате процесс начинается заново. Разработчик, злой и раздраженный, уходит переписывать кусок кода, запускать повторное тестирование. Безопасник, с чувством выполненного долга, ждет. Так идет неделя за неделей, а продукт все еще не выпущен.
А как сейчас.
Появилась методология DevSecOps. Она позволяет интегрировать процессы обеспечения безопасности внутри разработки. На всех этапах ответственный за соблюдение норм безопасности работает плечом к плечу с командой разработки.
У такого подхода несколько плюсов:
- Приложение выводится в продакшн быстрее.
- В приложении меньше дефектов и уязвимостей.
- Уменьшается время, необходимое для обеспечения безопасности приложения.
- Конфликты «безопасник/разработчик» снижаются и решаются на самых ранних этапах.
- Снижаются риски использования некачественных или юридически рискованных open source компонентов, которые можно выявить, например, при проверке через Black Duck или WhiteSource.
В компании Microsoft давно осознали необходимость встраивать безопасность в разработку, а не выделять в отдельное звено. И разработали методологию Security Development Lifecycle, SDLC, суть которого – участие безопасности в каждом этапе разработки, от написания требований, до релиза.
SDLC не только обнаруживает уязвимости, как принято считать, но и предотвращает их появление на ранних этапах.
Мы поднимем тему безопасности в разработке на бесплатном вебкасте 28 января 2020 года. Присоединяйтесь.
Поговорим об автоматизации процесса проверки приложения и о том, как это реализовать на основе Microsoft Azure.
Опишем некоторые полезные функции, например, функция автоматического контроля качества билда, если используется устаревший open source.
Расскажем о Sonarcube, который помогает искать ошибки и проблемы в коде, снижая на 30-40% нагрузки на разработчиков при ревью кода.
Покажем примеры реализованного подхода обеспечения безопасности выпускаемого приложения.
Мероприятие проведет: Андрей Бешков, Руководитель направления развития бизнеса Softline
Участие бесплатное, требуется обязательная регистрация. Количество мест ограничено.
