Ведущий: Валерий Боронин
Как облегчить для разработчика процесс анализа исходного кода на стадии реализации по SDL/SSDL и как интегрировать инструменты анализа, чтобы уменьшить затраты на исправление ошибок? Иногда лучшее решение — это отсутствие пользовательского интерфейса! Приходите, чтобы увидеть взаимодействие Человека с Машиной через исходный код.
2. R&D – 20 лет
Разработчик режима ядра – мы сделали
лучший в мире App & Device Control
В команде RSDN, все еще #1 in Low-level?!
Безопасность – с прошлого тысячелетия
CTO, небольшая компания (30+ чел)
Director DLP Research, большая (ЛК)
DLP, Encryption, Incident Management
Сейчас отвечаю за направление SDL и
Строим Application Inspector SSDL Edition
31.05.2016 Positive Hack Days 2016, Moscow 2
Валерий Боронин
3. 1. Вводная
2. Трудности с App Sec Testing (AST) Tools
3. Что можно с этим сделать?
4. Промоделируем новую схему вживую
5. Что имеем по итогу
6. Вопросы и ответы
Программа на следующий час
31.05.2016 Positive Hack Days 2016, Moscow 3
4. Лавина Кода
Нет людей на отсмотр
За разумное время
31.05.2016 Positive Hack Days 2016, Moscow 4
Хьюстон, у нас проблема...
5. Quality – Defects cost
huge money and leads to
project failures.
Security even worse
Security is hard to find
Security is hard to fix
31.05.2016 Positive Hack Days 2016, Moscow 5
Качество? С безопасностью все еще хуже!
HIGHLIGHTS FROM THE
2015 WORLD SW
QUALITY REPORT:
Security is the most
pressing concern
6. Растут риски
Качество ниже, чем ожидали
Баги проскакивают в продакшн
Трудозатраты, расписание, бюджет превышены
...
Проект завален
увеличиваются потери
Более низкие продажи
$$$
даже жизни людей
31.05.2016 Positive Hack Days 2016, Moscow 6
В результате
7. 1. +1 консоль, +1 процесс, +1 отчет, ...
2. Пожар в шлеме + нет особо помощи с устранением
3. Заточены под одну роль (или вообще один user)
4. Разрозненный инструментарий + SSDL не цель
5. Ручное иили неудобное использование
6. Задержки + Нет присмотра за процессом
7. Иногда слабовата подводит архитектура
31.05.2016 Positive Hack Days 2016, Moscow 7
Трудности с AST инструментами
8. 1. UI? Лучший интерфейс – его отсутствие!
31.05.2016 Positive Hack Days 2016, Moscow 8
9. 1. Разные проблемы – по
разным тикетам
2. Работа по исправлению –
в отдельных,
специальным образом
подготовленных бранчах
31.05.2016 Positive Hack Days 2016, Moscow 9
2. Тушим пожары в шлемах. Совместно!
1
2
10. 31.05.2016 Positive Hack Days 2016, Moscow 10
3. Роли и RBAC
Administrator – настроить и назначить на роли
Developer – для разработчиков и QA
Manager – для руководителей / старших
...дальше – больше :-)
12. Результаты доставляются
ASAP до всех участников
процесса их любимым
образом, в привычной
им форме и даже на их
языке
Уведомления отчеты в
письмах, точнее, UA-
уведомлениях
• FYA – For Your Action
• FYI – кому поспать спокойно
31.05.2016 Positive Hack Days 2016, Moscow 12
5. Любимый инструмент удобно сидит в руке
13. 31.05.2016 Positive Hack Days 2016, Moscow 13
6. Мин. задержки + контроль на линии
Непрерывная event-driven защита
Установите и контролируйте свои правилаполитику
Присмотр за процессом / Подтверждения фиксов
14. AF
31.05.2016 Positive Hack Days 2016, Moscow 14
7. Как это работает – компоненты решения
UX- & UA-aware
Extensible
Secure
• RBAC (UI + данные)
• Segregation of duty
• Least privileges
17. Общаемся через исходный код
Группировка и прогресс - привычный трекер
Автоматический анализ с эксплоитами и
подтверждениями исправлений – облечит
отладку и убережет от греха!
31.05.2016 Positive Hack Days 2016, Moscow 18
Выгоды для разработчика
18. Все было понятно?
Все было, что Вам нужно?
Что-то пропустили?
Вопросы и уточнения
Идеи
Рацпредложения
Хочу работать с вами!
Пожалуйста, пишите стучите звоните – как Вам
удобнее. Если мысль придет позже – тоже ОК!
Спасибо за внимание!
31.05.2016 Positive Hack Days 2016, Moscow 19