Pull to refresh
12
0
Ярослав Александров @yaleksar

Head of Product

Send message

Как в Авито используют продуктовый подход к разработке технических фич

Reading time9 min
Views4.1K

Привет! Меня зовут Ярослав Александров, я руковожу юнитом Avito ID. Уже несколько лет один из ключевых фокусов Авито — безопасность пользователей и их доверие к площадке. Для достижения целей Trust and Safety (T&S) мы запускаем технические продукты и фичи.

Так сложилось, что в компании мы используем зрелый продуктовый подход. В этой статье я расскажу, как мы его применяем к техническим продуктам и с чем сталкиваемся в процессе.

Читать далее
Total votes 3: ↑2 and ↓1+1
Comments2

(S)SDLC, или Как сделать разработку безопаснее. Часть 3

Reading time5 min
Views4.7K
Этой статьей мы завершим небольшой цикл о построении процесса безопасной разработки на основе SAST — статического анализа кода на безопасность. В первой части мы разобрали основные вопросы, возникающие при внедрении SAST в процесс разработки. Во второй части остановились на технических аспектах внедрения и разобрали несколько примеров выстраивания SSDLC на практике. В последней части расскажем об организационных моментах.

Для большинства компаний использование SAST — это новый процесс, а уязвимость — новая сущность. Уязвимость — это не баг и не функциональное требование, и нужно выстраивать процесс работы с новой сущностью. Нельзя забывать про историческое разделение безопасности и разработки, которое особенно обостряется, когда в процесс разработки нужно внедрять что-то новое. Масла в огонь подливают и технические особенности статического анализа, о которых мы говорили во второй части.

Читать дальше →
Total votes 17: ↑17 and ↓0+17
Comments0

(S)SDLC, или Как сделать разработку безопаснее. Часть 2

Reading time9 min
Views3.5K
– Наташ, а Наташ? Мы там, это… SAST внедрили.
– Мы там всё уронили, Наташ. Вообще, всё!!!
– Пайплайны стоят, очередь забита…
– Ни одной сборки не прошло! Вставай, Натаааш!




Вот так примерно можно проснуться на следующее утро после внедрения в разработку статического анализа кода. Если заранее не подготовиться к этой увлекательной процедуре.
А можно получить совсем другой, намного более позитивный и полезный для разработки и бизнеса результат. Если учесть при внедрении ряд технических нюансов SAST-анализа и вовремя подстелить соломку. Об этих нюансах сегодня и поговорим!
Читать дальше →
Total votes 7: ↑6 and ↓1+9
Comments0

(S)SDLC, или Как сделать разработку безопаснее. Часть 1

Reading time7 min
Views6.1K
image

С каждым годом культура разработки растет, появляются новые инструменты для обеспечения качества кода и новые идеи, как эти инструменты использовать. Мы уже писали про устройство статического анализа, про то, на какие аспекты анализаторов нужно обращать внимание, и, наконец, про то, как с организационной точки зрения можно построить процесс на основе статического анализа.

Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.
Читать дальше →
Total votes 8: ↑8 and ↓0+8
Comments0

«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа

Reading time9 min
Views8.2K
image

На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результатом. Однако в некоторых случаях применение статического анализа ограничено — например, когда нет исходного кода. В этой статье мы расскажем про довольно редкую, но очень полезную технологию, которая позволяет совместить плюсы статического и динамического подходов — статический анализ исполняемого кода.
Читать дальше →
Total votes 25: ↑25 and ↓0+25
Comments8

О статическом анализе начистоту

Reading time10 min
Views17K
Последнее время все чаще говорят о статическом анализе как одном из важных средств обеспечения качества разрабатываемых программных продуктов, особенно с точки зрения безопасности. Статический анализ позволяет находить уязвимости и другие ошибки, его можно использовать в процессе разработки, интегрируя в настроенные процессы. Однако в связи с его применением возникает много вопросов. Чем отличаются платные и бесплатные инструменты? Почему недостаточно использовать линтер? В конце концов, при чем тут статистика? Попробуем разобраться.


Читать дальше →
Total votes 40: ↑36 and ↓4+32
Comments3

Как правильно использовать статический анализ

Reading time10 min
Views11K
Сейчас все больше говорят о статическом анализе для поиска уязвимостей как необходимом этапе разработки. Однако многие говорят и о проблемах статического анализа. Об этом много говорили на прошлом Positive Hack Days, и по итогам этих дискуссий мы уже писали о том, как устроен статический анализатор. Если вы пробовали какой-нибудь серьезный инструмент, вас могли отпугнуть длинные отчеты с запутанными рекомендациями, сложности настройки инструмента и ложные срабатывания. Так все-таки нужен ли статический анализ?

Наш опыт подсказывает, что нужен. И многие проблемы, которые возникают при первом взгляде на инструмент, вполне можно решить. Попробую рассказать, что может делать пользователь и каким должен быть анализатор, чтобы его использование было полезным, а не вносило «еще один ненужный инструмент, который требуют безопасники».

Читать дальше →
Total votes 35: ↑32 and ↓3+29
Comments17

Поиск уязвимостей в байткоде Java: что делать с результатами?

Reading time5 min
Views7.7K

Solar inCode умеет обнаруживать уязвимости в байткоде Java. Но показать инструкцию байткода, которая содержит уязвимость, мало. Как показать уязвимость в исходном коде, которого нет?
Читать дальше →
Total votes 14: ↑12 and ↓2+10
Comments7

Information

Rating
Does not participate
Registered
Activity