Post on 20-Mar-2017
Когда разработка идет как надо
или
Разработка защищенного
программного кода.
к. ф.-м. н. Катерина Н. Трошина
Solar Security
План
• Разработка программного кода сегодня
• Лучшие мировые практики
• Наш процесс разработки ПО
• Сопровождение разработанного ПО
• Работать на себя
Разработка программного
кода сегодня
Дружное трио:
разработчик
тестировщик
аналитик
Разработка программного
кода сегодня
• Начальник отдела разработки
• Коллектив
• Программный продукт
• Бизнес
Повышение качества разработки
Кодирование
$80
Сборка$240
Тестирование и Безопасность
$960
Эксплуатация$7600
Обнаружение дефектов
Разделяй и властвуй
аналитик
разработчик
тестировщик
SDLC
Наш пример. Разработка
3 независимые группы:
• Аналитика
• Разработка
• Тестирование
Кодирование
$80
Сборка$240
Тестирование и Безопасность
$960
Эксплуатация$7600
Обнаружение дефектов
Анализ кода
ИС анализа кода
разработчиктестировщик
Повышение качества
разработки
– Статический анализ кода
– Динамический анализ кода
– Анализ кода времени
выполнения
Кодирование
Сборка Тестирование и Безопасность
Запуск
Система управления проектами
Среда разработки
Система контроля версий и сборки
анализа кода
Влияние на жизненный цикл
Старт
Исправление критическихуязвимостей
При стабильномиспользованииисправлены всекритические уязвимости
До SCA
Вместе с SCA
Схема интеграции inCode: пример
12
Developer
IDE
CLI
commit
Bug Tracking
Build Tool
Build Tool
TestNG
TestEnvironment
VCS
CI
Team LeadSecurity Officer
Results analysis
Manager
Analytics
GUIscan
MR→devnight build
Наш пример. Разработка
Кодирование
$80
Сборка$240
Тестирование и Безопасность
$960
Эксплуатация$7600
Обнаружение дефектов
Мотивация
аналитик
разработчик
тестировщик
Наш пример. Сопровождение
разработчик
Заключение
Мы добились эффективной
разработки:
• Разделили аналитику, разработку и
тестирование
• Грамотно внедрили анализ кода
• Разработали прозрачные
мотивационные программы для
сотрудников