Когда разработка идет как надо

или

Разработка защищенного

программного кода.

к. ф.-м. н. Катерина Н. Трошина

Solar Security

План

• Разработка программного кода сегодня

• Лучшие мировые практики

• Наш процесс разработки ПО

• Сопровождение разработанного ПО

• Работать на себя

Разработка программного

кода сегодня

Дружное трио:

разработчик

тестировщик

аналитик

Разработка программного

кода сегодня

• Начальник отдела разработки

• Коллектив

• Программный продукт

• Бизнес

Повышение качества разработки

Кодирование

$80

Сборка$240

Тестирование и Безопасность

$960

Эксплуатация$7600

Обнаружение дефектов

Разделяй и властвуй

аналитик

разработчик

тестировщик

SDLC

Наш пример. Разработка

3 независимые группы:

• Аналитика

• Разработка

• Тестирование

Кодирование

$80

Сборка$240

Тестирование и Безопасность

$960

Эксплуатация$7600

Обнаружение дефектов

Анализ кода

ИС анализа кода

разработчиктестировщик

Повышение качества

разработки

– Статический анализ кода

– Динамический анализ кода

– Анализ кода времени

выполнения

Кодирование

Сборка Тестирование и Безопасность

Запуск

Система управления проектами

Среда разработки

Система контроля версий и сборки

анализа кода

Влияние на жизненный цикл

Старт

Исправление критическихуязвимостей

При стабильномиспользованииисправлены всекритические уязвимости

До SCA

Вместе с SCA

Схема интеграции inCode: пример

12

Developer

IDE

CLI

commit

Bug Tracking

Build Tool

Build Tool

TestNG

TestEnvironment

VCS

CI

Team LeadSecurity Officer

Results analysis

Manager

Analytics

GUIscan

MR→devnight build

Наш пример. Разработка

Кодирование

$80

Сборка$240

Тестирование и Безопасность

$960

Эксплуатация$7600

Обнаружение дефектов

Мотивация

аналитик

разработчик

тестировщик

Наш пример. Сопровождение

разработчик

Заключение

Мы добились эффективной

разработки:

• Разделили аналитику, разработку и

тестирование

• Грамотно внедрили анализ кода

• Разработали прозрачные

мотивационные программы для

сотрудников