2022-08-04 14:15:00
Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки
Вот несколько тезисов:
— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.
Инструменты, которые были упомянуты (+ немного добавил от себя):
SAST:
- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)
SCA:
- Dependency track
- Dependency check
- Snyk
Container security:
- Trivy
Поиск секретов
- git-secrets
- Gitleaks
- TruffleHog
DAST:
- OWASP ZAP
- Nuclei
- Arachni
828 views11:15