Возлюби безопасника своего как самого себя: Построение DevSecOps как гармоничный путь развития.

Мы открываем новую серию технических вебкастов темой безопасности. Точнее, безопасности при разработке приложений.

Как это было раньше?

Безопасник выступал в роли контролирующего органа, продукт попадал к нему на оценку и согласование уже в конце, когда код написан, интеграционные и UI тесты пройдены, изделие, казалось бы, готово к выпуску в продакшн. Вот тут-то проблемы и начинались.

Разработчик: Я писал с применением популярных легальных open source библиотек.

Безопасник: В вашем коде целый кусок не соответствует требованиям безопасности.

В результате процесс начинается заново.

Разработчик, злой и раздраженный, уходит переписывать кусок кода, запускать повторное тестирование. Безопасник, с чувством выполненного долга, ждет. Так идет неделя за неделей, а продукт все еще не выпущен.

А как сейчас.

Появилась методология DevSecOps. Она позволяет интегрировать процессы обеспечения безопасности внутри разработки. На всех этапах ответственный за соблюдение норм безопасности работает плечом к плечу с командой разработки.

У такого подхода несколько плюсов:

1. Приложение выводится в продакшн быстрее.
2. В приложении меньше дефектов и уязвимостей.
3. Уменьшается время, необходимое для обеспечения безопасности приложения.
4. Конфликты «безопасник/разработчик» снижаются и решаются на самых ранних этапах.
5. Снижаются риски использования некачественных или юридически рискованных open source компонентов, которые можно выявить, например, при проверке через Black Duck или WhiteSource.

В компании Microsoft давно осознали необходимость встраивать безопасность в разработку, а не выделять в отдельное звено. И разработали методологию Security Development Lifecycle, SDLC, суть которого – участие безопасности в каждом этапе разработки, от написания требований, до релиза.

SDLC не только обнаруживает уязвимости, как принято считать, но и предотвращает их появление на ранних этапах.

Мы поднимем тему безопасности в разработке на бесплатном вебкасте 28 января 2020 года. Присоединяйтесь. 

• Поговорим об автоматизации процесса проверки приложения и о том, как это реализовать на основе Microsoft Azure.
• Опишем некоторые полезные функции, например, функция автоматического контроля качества билда, если используется устаревший open source.
• Расскажем о Sonarcube, который помогает искать ошибки и проблемы в коде, снижая на 30-40% нагрузки на разработчиков при ревью кода.
• Покажем примеры реализованного подхода обеспечения безопасности выпускаемого приложения.

Мероприятие проведет: Андрей Бешков, Руководитель направления развития бизнеса Softline.

Язык вебинара: русский.

Участие бесплатное, требуется обязательная регистрация. Количество мест ограничено.

Регистрация:https://softline.ru/events/web_2020_microsoft_devsecops_200128?fbclid=IwAR1e86Q2axNFBl7jBmSyTcU90gEwUFCDFCYWkMKotB3ATL9kuf6CyNnAUyM&tab=registration