Комментарии 11
> 1,2 млрд строк кода и более 25 тысяч репозиториев
зеркало гитхаба?
Security Gate❣️❣️❣️
Все эти млрд строк кода и десятки тысяч репозиториев (с кучей веток) выглядят как маркетинговые цифры и/или цифры, которые вы сами себе сгенерировали (как в случае со срабатываниями анализиторов). При этом сама AppSec платформа выглядит впечатляюще. Спасибо за интересную статью!
Хотелось бы побольше узнать о базовом процессе со стороны разработчика и безопасника: как буквально разработчик с этим взаимодействует и насколько это ухудшает (или улучшает) его жизнь? Security Gate скорее всего предполагает блокирование релиза на основе наличия High+ уязвимостей? То же самое и в контексте безопасника, особенно с учётом таких объёмов для триаджа.
Сорри за немного провакационный вопрос, но рассматривали ли возможность вообще не аггрегировать и не хранить результаты работы анализаторов, а показывать их только в контексте PR-ов?
Привет!
Цифры (к сожалению) мы не генерили, они действительно большие. К слову недавно админы БД пришли к нам с вопросом докидывания дискового пространства, т.к. базы Security Gate превысили 300GB. И это с учетом, что мы не храним в базах сырые данные.
По процессам мы хотели написать отдельную статью. В удобство работы с платформой, флоу разработчика, и т.д. мы так же инвестировали много сил, и в одном комментарии не ответить.
По блокировкам могу ответить сразу. Мы их пока не включаем массово. Скорее наблюдаем обратный процесс, когда команды сами обращаются к нам за подобной функцией.
В контексте коммитов/МР-ов и т.п. не рассматривали по одной простой причине - избыточная нагрузка на разработчиков и путаница с тем где какая уязвимость. Теряется мастер-запись об уязвимости в одном месте и куча фишек на платформе о которых в следующей статье про UX/UI расскажем.
P.S. Так же будем рады обмену опытом с вами. Приезжайте в гости!
AppSec-платформа для сотен миллионов строк кода