Мы открываем новую серию технических вебкастов темой безопасности. Точнее, безопасности при разработке приложений.

Как это было раньше?
Безопасник выступал в роли контролирующего органа, продукт попадал к нему на оценку и согласование уже в конце, когда код написан, интеграционные и UI тесты пройдены, изделие, казалось бы, готово к выпуску в продакшн. Вот тут-то проблемы и начинались.

Разработчик: Я писал с применением популярных легальных open source библиотек.

Безопасник: В вашем коде целый кусок не соответствует требованиям безопасности и дыряв как швейцарский сыр.

В результате процесс начинается заново. Разработчик, злой и раздраженный, уходит переписывать кусок кода, запускать повторное тестирование. Безопасник, с чувством выполненного долга, ждет. Так идет неделя за неделей, а продукт все еще не выпущен.

А как сейчас?
Появилась методология DevSecOps. Она позволяет интегрировать процессы обеспечения безопасности внутри разработки. На всех этапах ответственный за соблюдение норм безопасности работает плечом к плечу с командой разработки.

У такого подхода несколько плюсов:

1. Приложение выводится в продакшн быстрее.
2. В приложении меньше дефектов и уязвимостей.
3. Уменьшается время, необходимое для обеспечения безопасности приложения.
4. Конфликты «безопасник/разработчик» снижаются и решаются на самых ранних этапах.
5. Снижаются риски использования некачественных или юридически рискованных open source компонентов, которые можно выявить, например, при проверке через Black Duck или WhiteSource.

В Microsoft давно осознали необходимость встраивать безопасность в разработку, а не выделять в отдельное звено. И разработали методологию Security Development Lifecycle, SDLC, суть которого – участие безопасности в каждом этапе разработки, от написания требований, до релиза.

SDLC не только обнаруживает уязвимости, как принято считать, но и предотвращает их появление на ранних этапах.

Мы поднимем тему безопасности в разработке на бесплатном вебкасте 28 января 2020 года. Присоединяйтесь.  

Поговорим об автоматизации процесса проверки приложения и о том, как это реализовать на основе Microsoft Azure.

Опишем некоторые полезные функции, например, функция автоматического контроля качества билда, если используется устаревший open source.

Расскажем о Sonarcube, который помогает искать ошибки и проблемы в коде, снижая на 30-40% нагрузки на разработчиков при ревью кода.

Покажем примеры реализованного подхода обеспечения безопасности выпускаемого приложения.

Мероприятие проведет: Андрей Бешков, Руководитель направления развития бизнеса Softline

Участие бесплатное, требуется обязательная регистрация. Количество мест ограничено.

ССЫЛКА НА РЕГИСТРАЦИЮ