Привет! Меня зовут Ярослав Александров, я руковожу юнитом Avito ID. Уже несколько лет один из ключевых фокусов Авито — безопасность пользователей и их доверие к площадке. Для достижения целей Trust and Safety (T&S) мы запускаем технические продукты и фичи.
Так сложилось, что в компании мы используем зрелый продуктовый подход. В этой статье я расскажу, как мы его применяем к техническим продуктам и с чем сталкиваемся в процессе.
Некоторое время назад мы закончили строить процесс безопасной разработки на базе нашего анализатора кода приложений в одной из крупнейших российских ритейловых компаний. Не скроем, этот опыт был трудным, долгим и дал мощнейший рывок для развития как самого инструмента, так и компетенций нашей команды разработки по реализации таких проектов. Хотим поделиться с вами этим опытом в серии статей о том, как это происходило на практике, на какие грабли мы наступали, как выходили из положения, что это дало заказчику и нам на выходе. В общем, расскажем о самом мясе внедрения. Сегодня речь пойдет о безопасной разработке порталов и мобильных приложений ритейлера.
Отталкиваясь от вопросов, с которыми мы часто сталкиваемся, мы описали весь процесс внедрения сканера кода в процесс безопасной разработки. Сегодня речь пойдет о том, как выбрать подходящий вам анализатор.
Solar inCode умеет обнаруживать уязвимости в байткоде Java. Но показать инструкцию байткода, которая содержит уязвимость, мало. Как показать уязвимость в исходном коде, которого нет?
