До конференции осталось — :::

Опыт внедрения статического анализа в большой организации

17:35
45 мин
Defensive Track

Разработчики Яндекса могут похвастаться зоопарком VCS и CI/CD систем, а служба информационной безопасности целым арсеналом секьюрити тулов, количество которых давно перевалило за десяток. Для статического анализа у нас есть коммерческие, open source и собственные инструменты. При этом отсутствие единой точки входа для запуска приводило к тому, что у инструментов было плохое покрытие, высокий false positive rate и низкий bus factor.

Чтобы решить эти проблемы был разработан оркестратор imPulse, задачей которого стала унификация процессов запуска анализаторов, обработки отчетов и триажа получившихся срабатываний.

imPulse поддерживает как классический сценарий запуска сканирования по расписанию, так и сценарии запуска по заявке на аудит безопасности и внутри CI/CD систем.

Появление единого интерфейса для работы с инструментами статического анализа позволяет находить схожие проблемы и специфичные для Яндекса уязвимости на всей кодовой базе. Для решения этой задачи мы в первую очередь используем анализаторы Semgrep и CodeQL. В ходе доклада мы расскажем, где мы берем идеи для кастомных правил и с какими сложностями сталкиваемся.

Спикеры
Алексей Мещеряков
Александр Каледа
Евгений Проценко
Поделиться
Другие доклады
Воркшопы
Комплексное обучение атакам на приложения
Web Village
PD%00
Web Village
Уязвимости dApp’ов
Наверх