Кабы не было AppSec, или Что делать, когда он есть

#AppSec #DevSecOps #ITD Эксперты обсудили внедрение практики DevSecOps. Казалось бы, что тут сложного? Берем отдел разработки и снабжаем его разнообразными инструментами, которые помогают выявлять бреши в безопасности. Но, как говорится, чем дальше в лес, тем больше дров. Задача, которая поначалу кажется легко реализуемой, обрастает таким количеством нюансов, что начинает пугать. КЛЮЧЕВЫЕ ВОПРОСЫ ДИСКУССИИ: 1. Выстраивание SSDLC. Существует ли «волшебная таблетка», или все зависит от индивидуальных особенностей процессов разработки? 2. Кадры. Откуда брать специалистов AppSec, как найти общий язык с разработчиками и мотивировать их писать безопасный код? Кто должен оценивать уровень безопасности разрабатываемого приложения? 3. Статический анализ кода. Как правильно выбирать решение SAST? На что обратить внимание в ходе пилотов и как оценить разные анализаторы кода, если ты еще «не в теме»? 4. Кастомизация правил сканирования SAST. Это вообще кому-нибудь нужно? И если да, то зачем? 5. Как определить необходимое количество и комбинацию инструментов безопасности для различных проектов? Как понять, что пора переходить к внедрению следующего инструмента, если внедрение происходит поэтапно? 6. Практический опыт решения сложностей при внедрении безопасности в цикл разработки. Как это было? Приглашенные эксперты: • Артем Бачевский, исполнительный директор в AppSec, Сбер • Иван Елкин, сооснователь компании Vulners.com • Федор Курносов, независимый эксперт • Алексей Гуськов, независимый эксперт Модераторы: • Анна Архипова, ведущий менеджер по развитию продуктовых решений, ITD Group