Security Gate: платформа оркестрации SAST-сканирования своими руками Безопасность
Начинал карьеру как разработчик и инженер баз данных. Позже выполнял роль архитектора и исполнительного директора по кибербезопасности в Сбере.
В настоящий момент директор департамента защиты приложений VK.
Тезисы
Решили выстроить процесс автоматизированного анализа кодовой базы на уязвимости, но DefectDojo не выдержал нагрузки? С такой же проблемой столкнулись и мы два года назад. За это время мы разработали собственную платформу оркестрации SAST- и SCA-инструментов и ежедневно проводим полторы тысячи сканирований, подключив к системе шесть тысяч проектов, а наша БД, хранящая «сырые» сработки, перевалила за 300 гигабайт.
Расскажем, как мы справляемся с такими объёмами, чего нам стоило разработать собственную систему vulnerability management силами 3 разработчиков, как мы справляемся с анализом проектов в миллионы строк кода и как проводим многоступенчатую дедупликацию данных, благодаря которой 150 миллионов «сырых» срабатываний SAST-анализаторов превращаются в несколько тысяч агрегированных срабатываний в Web-UI, с которымИ работают разработчики.
