Iubește-ți ofițerul de securitate ca pe tine însuți: Construirea DevSecOps ca o cale armonioasa de dezvoltare.

Deschidem o nouă serie de webcast-uri tehnice cu temă de securitate. Mai precis, securitate la dezvoltarea aplicațiilor.

Cum era înainte?

Ofițerul de securitate a acționat în calitate de organism de reglementare, soluția venea la el spre evaluare și aprobare deja la sfârșit, atunci când a fost scris codul, testele de integrare și UI, produsul părea să fie gata pentru a fi lansat în producție. De aici s-au început problemele.

Dezvoltator: Am scris folosind biblioteci populare open source legale.

Ofițer de securitate: În codul dvs., o bucată întreagă nu respectă cerințele de securitate.

Drept urmare, procesul începe din nou.

Dezvoltatorul, furios și enervat, lasă să rescrie o bucată de cod, să ruleze re-testarea. Securistul, cu un sentiment de realizare, așteaptă. Așa că merge săptămâna după săptămână, iar produsul încă nu este lansat.

Și acum.

A apărut metodologia DevSecOps. Vă permite să integrați procesele de securitate în cadrul dezvoltării. În toate etapele, ofițerul de securitate lucrează alături de echipa de dezvoltare.

Această abordare are mai multe avantaje:

1. Aplicația este lansată mai rapid în producție.
2. Aplicația are mai puține defecte și vulnerabilități.
3. Reduce timpul necesar pentru a asigura securitatea aplicației.
4. Conflictele „securitate/dezvoltator” sunt reduse și rezolvate în cele mai vechi stadii.
5. Se reduc riscurile de utilizare a unor componente open source de calitate inferioară sau riscante care pot fi identificate, de exemplu, la verificarea prin Black Duck sau WhiteSource.

Microsoft a recunoscut de mult nevoia de a integra securitatea în dezvoltare, mai degrabă decât să fie alocată ca o legătură separată. Și au dezvoltat metodologia Security Development Lifecycle, SDLC, a cărei esență este participarea securității la fiecare etapă de dezvoltare, de la scrierea cerințelor până la lansare.

SDLC nu numai că detectează vulnerabilități, așa cum se crede în mod obișnuit, dar îi și împiedică să apară în fazele incipiente.

Vom ridica subiectul securității în dezvoltare pe un webcast gratuit pe 28 ianuarie 2020. Alătură-te acum.

• Vom vorbi despre automatizarea procesului de verificare a aplicației și despre cum să o implementăm pe baza Microsoft Azure.
• Vom descrie câteva funcții utile, de exemplu, funcția de control automat al calității construirii dacă se folosește un open source demodat.
• Vom discuta despre Sonarcube, care ajută la căutarea erorilor și a problemelor din cod, reducând sarcina pe dezvoltatori cu 30-40% la revizuirea codului.
• Vom prezenta exemple de abordare implementate pentru a asigura securitatea aplicației lansate.

Evenimentul va fi susținut de: Andrey Beshkov, Șeful direcției de dezvoltare afacerilor Softline.

Limba de predare: rusă.

Participarea este gratuită, înregistrarea este obligatorie. Numărul de locuri este limitat.

Înregistrează-te: https://softline.ru/events/web_2020_microsoft_devsecops_200128?fbclid=IwAR1e86Q2axNFBl7jBmSyTcU90gEwUFCDFCYWkMKotB3ATL9kuf6CyNnAUyM&tab=registration