Заполните форму в два простых шага ниже:

Ваши контактные данные:

Шаг 1

Поздравляем! У вас есть промокод!

Тип желаемой лицензии:

Шаг 2

Team license

Enterprise license

* Разница между Team и Enterprise

Не получили письмо?

** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Сергей Васильев

25 Апр 2023

Теги:

#Security

Снятся ли разработчикам безопасные приложения?

25 Апр 2023

Автор: Сергей Васильев

Волнует ли разработчиков безопасность кода? Для меня вопрос открыт. Эта статья — своего рода опрос: хочу собрать мнения как разработчиков, так и специалистов по безопасности. Поможете?

1047_DoDevelopersDreamOfSecurity_ru/image1.png

Расскажу, откуда у меня интерес к этой теме.

Я работаю над PVS-Studio. С одной стороны, это инструмент для поиска ошибок в коде, с другой — дефектов безопасности. То есть PVS-Studio сочетает в себе как черты "классического" статического анализатора, так и SAST-решения.

В последнее время меня интересует именно позиционирование PVS-Studio как SAST-решения. Хочется лучше понимать, чего команды ждут от подобных инструментов. С какими проблемами они сталкиваются при внедрении? Что для них важно, а что — нет? Как устроены процессы работы с выхлопом инструментов?

Чтобы найти ответы на эти вопросы, я решил посмотреть доклады с конференций по безопасности —на них чаще рассказывают про опыт внедрения SAST. После просмотра десятка докладов у меня сложилось впечатление, что... разработчикам вообще-то SAST и не особо интересен.

Поверьте, от разработчиков будет много лестных слов, когда они узнают, что им подключили SAST.

В докладах я усмотрел общую мысль: разработчики не рады внедрению SAST. Организовать процесс так, чтобы разработчики правили предупреждения — сложная задача.

Однако SAST всё же закрывает часть проблем с безопасностью кода. Поэтому команды, которые строят secure SDLC, внедряют его в процессы. При этом в разных компаниях используют разные подходы:

одни действуют жестко и вводят блокирующий security gate на предупреждения SAST-решений;
другие действуют мягче и не блокируют предупреждениями процессы разработки.

В первом случае разработчики хакают систему (например, подавляют предупреждения без разбора), во втором — не разбирают выхлоп анализатора.

Заставить людей культурно поменять своё мышление и ходить править свои баги самостоятельно — это прямо отдельная история.

Тут возникает такой вопрос: волнует ли разработчиков безопасность кода?

Казалось бы, SAST-решения должны помогать повышать её. Да, есть минусы в виде false positives, и всё же. Из-за чего тогда возникает конфликт? Проблема в инструментах, в процессах — или и в том, и в другом?

Здесь мне и нужна ваша помощь — прошу рассказать о вашем опыте и помочь найти ответы.

Есть ли конфликт интересов между командами разработки и безопасности? Как внедрён SAST? Что в инструменте важно, а что — нет? Кто работает с результатами анализа? Как вообще организован процесс?

Делитесь опытом и мыслями: как устроены процессы у вас, что нравится, что — нет, и как можно было бы сделать лучше.

#Security