AppSecAutomation: как внедрить проверки в жизнь разработчиков и не свести их с ума

Алена Жилина, DevSecOps-инженер, независимый эксперт Вячеслав Давыдов, DevSecOps-инженер, независимый эксперт Скорость выпуска ИТ-продуктов на рынок становится приоритетом — но не стоит забывать о проверках безопасности приложений и их компонентов. Оркестрация AppSec-инструментов дает возможность эффективно и единообразно управлять их выбором, конфигурацией и запуском в конкретных условиях. А использование механизмов Kubernetes позволяет создавать более высокоуровневые интерфейсы для проведения сканирований, упрощая процесс и реализуя Shift-Left-подход. В рамках этой темы: • Рассмотрим, что представляет собой приложение в контексте AppSec • Разберемся с «зоопарком» существующих практик и инструментов • Расскажем о нашем подходе к оркестрации инструментов SAST, SCA и Secret Scanning в процессе непрерывной сборки или при запуске сканирования on-demand • Покажем, как упростить работу с инструментами и практиками AppSec с помощью нативных и кастомных ресурсов Kubernetes