Доклад принят в программу конференции
Доклад о том, что делать, если вы небольшая команда безопасников и у вас есть десятки тысяч репозиториев на проверку. Александр расскажет про то, как они автоматически обходят репозитории, что складывают в базу, на что смотрят в репозиториях и как интегрируются с системой vulnerability management.
VK развивает более 200 проектов — суммарно это более 40 тысяч репозиториев с кодом, который команды разработки хранят в разных системах контроля версий. Чтобы строить процессы безопасной разработки, инженерам ИБ нужно иметь под рукой актуальную информацию обо всех из них.
Для этого мы (департамент защиты приложений VK) своими силами разработали на Python инструмент, ежедневно осуществляющий обход всех систем контроля версий, укладываясь в rate-limit, и сохраняющий в БД информацию о репозиториях (и образах), хранящихся в них, чтобы мы могли быстро и эффективно искать уязвимый код, библиотеки и чувствительную информацию.
Расскажу, как выглядит процесс инвентаризации, что мы сохраняем в БД, как применять полученные данные для решения задач DevSecOps, даже если у вас далеко не 40 тысяч репозиториев, а также поделюсь исходным кодом наших наработок.
Окончил МИФИ по специальности «Информационная безопасность», общий опыт работы по специальности — более 8 лет. Работал в госструктуре, вендоре СЗИ, в настоящее время — руководитель группы развития инструментов в отделе DevSecOps департамента защиты приложений VK. Участвует в разработке внутренней платформы оркестрации SAST-сканирования.
VK
Безопасность
Крупнейшая профессиональная конференция для разработчиков высоконагруженных систем
Варианты участия
Офлайн-участие
Стоимость конференции постоянно растет — чем ближе к мероприятию, тем дороже.
Текущая стоимость билета — 90000 ₽
Онлайн-участие
Все потоки с докладами (но не потоки с митапами) будут транслироваться нами онлайн.
Текущая стоимость билета — 45000 ₽
Ранее оформленные заявки доступны для оплаты. Пожалуйста, напишите на partners@ontico.ru
Мультибилет
Мультибилет на участие в HighLoad++ 2024 и TeamLead Conf++ 2024 со скидкой до 30%.
Размер скидки: 30% при покупке онлайн-билета, 20% при покупке офлайн-билета.
Текущая стоимость офлайн мультибилета — 132000 ₽
Текущая стоимость онлайн мультибилета — 57750 ₽
Корпоративное участие (от 10 билетов)
Для заказа от 10 билетов на очное или онлайн-участие, свяжитесь с нами по partners@ontico.ru.
Передумали покупать?
Расскажите, почему
Благодарим вас за ответ!
Видео, доступные к покупке
Видео FrontendConf 2023
2 октября 2023 — 3 ноября 2023
32000 ₽
Видео HighLoad++ 2023
27 и 28 ноября 2023
32000 ₽
Видео TeamLead Conf++ 2023
30 ноября 2023 и 1 декабря 2023
32000 ₽
Видео DevOpsConf 2024
4 и 5 марта 2024
37500 ₽
Видео Saint HighLoad++ 2024
24 и 25 июня 2024
39500 ₽
Видео Saint TeamLead Conf 2024
27 и 28 июня 2024
37500 ₽
Видео AiConf 2024
26 и 27 сентября 2024
37500 ₽
Видео FrontendConf 2024
30 сентября 2024 и 1 октября 2024
37500 ₽
Видео Industrial++ 2024
21 и 22 октября 2024
37500 ₽
Крупнейшая профессиональная конференция для разработчиков высоконагруженных систем