Профессиональная конференция для Go‑разработчиков

Инвентаризируй это: строим автоматический DevSecOps для 40 тысяч репозиториев

Безопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Доклад о том, что делать, если вы небольшая команда безопасников и у вас есть десятки тысяч репозиториев на проверку. Александр расскажет про то, как они автоматически обходят репозитории, что складывают в базу, на что смотрят в репозиториях и как интегрируются с системой vulnerability management.

Целевая аудитория

Инженеры информационной безопасности, в частности, специалисты по DevSecOps и AppSec.

Тезисы

VK развивает более 200 проектов — суммарно это более 40 тысяч репозиториев с кодом, который команды разработки хранят в разных системах контроля версий. Чтобы строить процессы безопасной разработки, инженерам ИБ нужно иметь под рукой актуальную информацию обо всех из них.

Для этого мы (департамент защиты приложений VK) своими силами разработали на Python инструмент, ежедневно осуществляющий обход всех систем контроля версий, укладываясь в rate-limit, и сохраняющий в БД информацию о репозиториях (и образах), хранящихся в них, чтобы мы могли быстро и эффективно искать уязвимый код, библиотеки и чувствительную информацию.

Расскажу, как выглядит процесс инвентаризации, что мы сохраняем в БД, как применять полученные данные для решения задач DevSecOps, даже если у вас далеко не 40 тысяч репозиториев, а также поделюсь исходным кодом наших наработок.

Окончил МИФИ по специальности «Информационная безопасность», общий опыт работы по специальности — более 8 лет. Работал в госструктуре, вендоре СЗИ, в настоящее время — руководитель группы развития инструментов в отделе DevSecOps департамента защиты приложений VK. Участвует в разработке внутренней платформы оркестрации SAST-сканирования.

VK

VK — это более 200 технологичных и высоконагруженных проектов, свыше 15 000 сотрудников. ВКонтакте, ОК, VK Cloud, Дзен, Маруся, VK Play — это лишь часть продуктов VK, которыми ежедневно пользуются миллионы людей.

Видео

Другие доклады секции

Безопасность