Security Gate: платформа оркестрации SAST-сканирования своими руками
Доклад принят в программу конференции
Целевая аудитория
Тезисы
Решили выстроить процесс автоматизированного анализа кодовой базы на уязвимости, но DefectDojo не выдержал нагрузки? С такой же проблемой столкнулись и мы два года назад. За это время мы разработали собственную платформу оркестрации SAST и SCA-инструментов, и ежедневно проводим полторы тысячи сканирований, подключив к системе шесть тысяч проектов, а наша БД, хранящая "сырые" сработки, перевалила за 300 гигабайт.
Расскажем, как мы справляемся с такими объёмами, чего нам стоило разработать собственную систему vulnerability management силами 3 разработчиков, как мы справляемся с анализом проектов в миллионы строк кода, и как проводим многоступенчатую дедупликацию данных, благодаря которой 150 миллионов "сырых" срабатываний SAST-анализаторов превращаются в несколько тысяч агрегированных срабатываний в Web-UI, с которым работают разработчики.
Начинал карьеру как разработчик и инженер баз данных. Позже – выполнял роль архитектора и исполнительного директора по кибербезопасности в Сбере.
В настоящий момент – директор департамента защиты приложений VK.
VK
Видео
Другие доклады секции
Безопасность