В рамках эфира AntiMalware Российский DevSecOps в условиях имп | Positive Development Community

В рамках эфира AntiMalware Российский DevSecOps в условиях импортозамещения проводился опрос участников.

Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:

«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.

Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.

Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.

На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка».