До конференции осталось — :::

Опыт внедрения статического анализа в большой организации

17:35
45 мин
Defensive Track

Разработчики Яндекса могут похвастаться зоопарком VCS и CI/CD систем, а служба информационной безопасности целым арсеналом секьюрити тулов, количество которых давно перевалило за десяток. Для статического анализа у нас есть коммерческие, open source и собственные инструменты. При этом отсутствие единой точки входа для запуска приводило к тому, что у инструментов было плохое покрытие, высокий false positive rate и низкий bus factor.

Чтобы решить эти проблемы был разработан оркестратор imPulse, задачей которого стала унификация процессов запуска анализаторов, обработки отчетов и триажа получившихся срабатываний.

imPulse поддерживает как классический сценарий запуска сканирования по расписанию, так и сценарии запуска по заявке на аудит безопасности и внутри CI/CD систем.

Появление единого интерфейса для работы с инструментами статического анализа позволяет находить схожие проблемы и специфичные для Яндекса уязвимости на всей кодовой базе. Для решения этой задачи мы в первую очередь используем анализаторы Semgrep и CodeQL. В ходе доклада мы расскажем, где мы берем идеи для кастомных правил и с какими сложностями сталкиваемся.

Спикеры
Алексей Мещеряков
Александр Каледа
Евгений Проценко
Поделиться
Другие доклады
Web Village
Баги JavaScript
Web Village
Серверная эксплуатация уязвимости Prototype Pollution
Hardware Zone
Реверс AVR для начинающих
Наверх