Мнение Программного комитета о докладе
Внедрение SAST для обеспечения безопасности часто наталкивается на проблему непонимания, как именно работает инструмент. В докладе объясняются принципы работы на примерах без привязки к производителю.
Доклад принят в программу конференции
Внедрение SAST для обеспечения безопасности часто наталкивается на проблему непонимания, как именно работает инструмент. В докладе объясняются принципы работы на примерах без привязки к производителю.
С использованием SAST-решений как чёрного ящика более или менее всё понятно — установили baselining, включили нужные чекеры и прочие необходимые настройки. Актуальные предупреждения правим, false positives давим.
Но что происходит "за кулисами", прежде чем анализатор выдаст предупреждение о дефекте безопасности? Работа с синтаксисом, семантикой, data-flow, taint checking — как всё это помогает искать те или иные проблемы?
В ходе доклада мы приоткроем эту завесу. Ответим на обозначенные выше вопросы, разберём примеры реальных дефектов безопасности и того, как SAST-решения их обнаруживают и с какими проблемами могут сталкиваться в ходе работы.
Head of DevRel в PVS-Studio LLC. Занимается разработкой одноимённого статического анализатора более 6 лет. За это время успел поработать над C++ и C#-анализаторами, а также в отделе Tools & DevOps. Параллельно пишет статьи о тонкостях C#, .NET.
PVS-Studio
Про security
Видео, доступные к покупке
Видео Saint HighLoad++ 2022
22 и 23 сентября 2022
22750 ₽
Видео Saint TeamLead Conf 2022
26 и 27 сентября 2022
22750 ₽
Видео FrontendConf 2022
7 и 8 ноября 2022
22750 ₽
Видео HighLoad++ 2022
24 и 25 ноября 2022
22750 ₽
Видео HighLoad++ Armenia 2022
15 и 16 декабря 2022
22750 ₽
Видео TeamLead Conf 2023
27 и 28 февраля 2023
22750 ₽
Видео DevOpsConf 2023
13 и 14 марта 2023
22750 ₽