Иван Елкин

Ведущий специалист по безопасности приложений, QIWI

О докладчике

• Application Security Lead in QIWI JSC • FullStack developer in past, present and future • Vulners.com co-founder, JBFC Member
16 ноября
16:00 — 16:30
Fast Track
Русский
И вот у нас уже есть SDLC, процессы налажены, компания выпускает безопасные продукты — но эти продукты начинают распадаться на микросервисы... Становится трудно жонглировать обилием инструментов: десятки сканеров, WAF, трекеры, CI, Bug Bounty, сотни разработчиков и админов — где что лежит? кто за что ответственный?
Всю эту информацию можно связать, построив правильную модель данных и наполнив ее из разных источников.
Мы расскажем о создании инструмента, который позволил инвентаризировать приложения и сделать плейбук из различных SDL-сценариев:
    — сканы по расписанию;
      — сканы DAST + SAST + OSA в контексте одного приложения;
        — «HackMe-mode»: ввод одного доменного имени -> сканирование всех приложений в поддоменах и сети.
        Модульность открывает возможность дописывать новые проверки и быть уверенным, что ни одно приложение не упущено.