Безопасная разработка в больших проектах, или Как улучшить безопасность ПО без отрыва от производства

Когда разработка ставится на поток из-за высокого спроса на услуги и продукты, все больше разработчиков стремятся выстроить ее более гибко и эффективно, внедряют процессы непрерывной интеграции и поставки (CI/CD). Обеспечение безопасности разрабатываемого ПО — неотъемлемая часть такого процесса. Нужно точно и без отрыва от производства определять и устранять риски безопасности — уязвимости. Но как показывает практика, здесь есть две проблемы. Первая — анализ качества кода ошибочно считают достаточной мерой для проверки ПО в том числе на риски безопасности. Вторая — те, кто понимает, что этого недостаточно, и прибегает к инструментам анализа защищенности, сталкиваются с трудностью: мало просто найти уязвимости, их нужно верифицировать (подтвердить, что это не ложное срабатывание), ведь только в этом случае уязвимость можно исправить. Усугубляет проблему тот факт, что верификация в большинстве случаев делается вручную, а с учетом того, что число уязвимостей может достигать сотен и тысяч, не просто эффективность, но сама целесообразность поддержки процесса CI/CD оказывается под большим вопросом.

В своем докладе Алексей расскажет, как сделать так, чтобы в реалиях непрерывности процесса, больших объемов и горящих дедлайнов дефекты безопасности не остались незамеченными, а процесс их верификации не превратился в бутылочное горлышко. Мы подробно поговорим о том, как грамотно автоматизировать процесс обеспечения безопасности ПО, не снижая, а даже повышая эффективность выполнения основных задач.

Алексей Жуков
Алексей Жуков Positive Technologies

Сообщество PDUG

Эксперт отдела систем защиты приложений Positive Technologies.

Родился в 1975 году. Окончил Московский государственный институт электронной техники по специальности «Программное обеспечение вычислительных систем».

Работал инженером-программистом в компаниях ЭЛВИС-ПЛЮС (с 1996 по 1998 год), TrustWorks Systems B.V.С (с 1999 по 2002 год), «Объектные технологии лимитед» (ведущий инженер-программист, с 2003 по 2006 год). Далее в течение девяти лет, с 2007 по 2016 год, проработал в ЭЛВИС-ПЛЮС ведущим специалистом и начальником отдела решений по управлению доступом.

С 2016 года присоединился к Positive Technologies. Является ведущим экспертом в области защиты приложений и активно участвует в развитии продуктов направления Application Security. В зону ответственности также входит взаимодействие с заказчиками и партнерами компании в части реализации пилотных проектов по инструментальному аудиту безопасности приложений.