AppSEC.ZONE 2019
Open Source & Secure development — миф или реальность?
АЛЕКСЕЙ ГУСЬКОВ
Независимый исследователь


Аналитик ИБ ПО. Занимаюсь внедрением security-практик в DevOps и анализом
защищенности систем.

Переписывать код под каждый новый апдейт моего любимого фреймворка или мониторить базу уязвимостей NIST? Удалить уязвимую компоненту из внутреннего репозитория или понять, применима ли к нам эта уязвимость? Как начать сканировать 500 kkloc и держать команды в курсе уязвимостей используемых ими компонент?

В этом докладе мы расскажем о нашем подходе к обеспечению open-source security: как мы переиспользуем данные других практик AppSec, как мы меняем под себя инструменты и чего нам так не хватает в современных OSS-сканерах.