Профессиональная конференция для Go‑разработчиков

Security Gate: платформа оркестрации SAST-сканирования своими руками

Безопасность

Доклад принят в программу конференции

Мнение Программного комитета о докладе

История-исследование процесса создания платформы безопасности на экстрабольших масштабах в компании. Внутри будет много полезных инженерных решений и их анализ — от вопросов выбора хранилищ до того, «почему не Open Source».

Целевая аудитория

Инженеры по ИБ, а также их руководители, размышляющие, стоит ли инвестировать время и силы в разработку собственной платформы, обеспечивающей покрытие кодовой базы инструментами SAST-анализа.

Тезисы

Решили выстроить процесс автоматизированного анализа кодовой базы на уязвимости, но DefectDojo не выдержал нагрузки? С такой же проблемой столкнулись и мы два года назад. За это время мы разработали собственную платформу оркестрации SAST- и SCA-инструментов и ежедневно проводим полторы тысячи сканирований, подключив к системе шесть тысяч проектов, а наша БД, хранящая «сырые» сработки, перевалила за 300 гигабайт.

Расскажем, как мы справляемся с такими объёмами, чего нам стоило разработать собственную систему vulnerability management силами 3 разработчиков, как мы справляемся с анализом проектов в миллионы строк кода и как проводим многоступенчатую дедупликацию данных, благодаря которой 150 миллионов «сырых» срабатываний SAST-анализаторов превращаются в несколько тысяч агрегированных срабатываний в Web-UI, с которымИ работают разработчики.

Начинал карьеру как разработчик и инженер баз данных. Позже выполнял роль архитектора и исполнительного директора по кибербезопасности в Сбере.
В настоящий момент директор департамента защиты приложений VK.

VK

VK — это более 200 технологичных и высоконагруженных проектов, свыше 15 000 сотрудников. ВКонтакте, ОК, VK Cloud, Дзен, Маруся, VK Play — это лишь часть продуктов VK, которыми ежедневно пользуются миллионы людей.

Видео

Другие доклады секции

Безопасность