И вот у нас уже есть SDLC, процессы налажены, компания выпускает безопасные продукты — но эти продукты начинают распадаться на микросервисы... Становится трудно жонглировать обилием инструментов: десятки сканеров, WAF, трекеры, CI, Bug Bounty, сотни разработчиков и админов — где что лежит? кто за что ответственный?
Всю эту информацию можно связать, построив правильную модель данных и наполнив ее из разных источников.
Мы расскажем о создании инструмента, который позволил инвентаризировать приложения и сделать плейбук из различных SDL-сценариев:

— сканы по расписанию;
— сканы DAST + SAST + OSA в контексте одного приложения;
— «HackMe-mode»: ввод одного доменного имени -> сканирование всех приложений в поддоменах и сети.
Модульность открывает возможность дописывать новые проверки и быть уверенным, что ни одно приложение не упущено.