Запрос счета
Напишите нам
Задайте вопрос, напишите пожелания или оставьте отзыв
Я принимаю Политику обработки персональных данных
Заявка на спонсорство
Я принимаю Политику обработки персональных данных
AppSec-трансформация: от свалки уязвимостей к умному конвейеру
Тезисы
Многие начинают строить AppSec с DefectDojo — это стандарт де-факто, пока уязвимостей сотни. Но когда счет идет на десятки и сотни тысяч, «бесплатный» инструмент превращается в черную дыру. Триаж превращается в бесконечный скроллинг, UI лагает, а ИБ видит дыры, но не может остановить деплой — код улетает в прод, как ни в чем не бывало.
В докладе честно разберем наш путь от open-source до коммерческой ASOC. Почему ручной триаж — это data overload без рычагов, и как мы выбирали систему, способную реально управлять безопасностью, а не просто складировать алерты.
О чем поговорим:
• Точка кипения: почему DefectDojo перестал тянуть нагрузку и превратился в «тормоз» процесса.
• Критерии: На что мы смотрели при выборе платного решения (AI-фильтрация, нативные Quality Gates и работающий Policy Engine) и т.д.
• Реальность против маркетинга: с какими проблемами пришлось столкнуться при миграции, и почему «интеграция за 5 минут» — это обычно миф.
• Власть над конвейером: как мы внедрили Quality Gates и заставили безопасность стать частью спринта.
В докладе честно разберем наш путь от open-source до коммерческой ASOC. Почему ручной триаж — это data overload без рычагов, и как мы выбирали систему, способную реально управлять безопасностью, а не просто складировать алерты.
О чем поговорим:
• Точка кипения: почему DefectDojo перестал тянуть нагрузку и превратился в «тормоз» процесса.
• Критерии: На что мы смотрели при выборе платного решения (AI-фильтрация, нативные Quality Gates и работающий Policy Engine) и т.д.
• Реальность против маркетинга: с какими проблемами пришлось столкнуться при миграции, и почему «интеграция за 5 минут» — это обычно миф.
• Власть над конвейером: как мы внедрили Quality Gates и заставили безопасность стать частью спринта.
Многие начинают строить AppSec с DefectDojo — это стандарт де-факто, пока уязвимостей сотни. Но когда счет идет на десятки и сотни тысяч, «бесплатный» инструмент превращается в черную дыру. Триаж превращается в бесконечный скроллинг, UI лагает, а ИБ видит дыры, но не может остановить деплой — код улетает в прод, как ни в чем не бывало.
В докладе честно разберем наш путь от open-source до коммерческой ASOC. Почему ручной триаж — это data overload без рычагов, и как мы выбирали систему, способную реально управлять безопасностью, а не просто складировать алерты.
О чем поговорим:
• Точка кипения: почему DefectDojo перестал тянуть нагрузку и превратился в «тормоз» процесса.
• Критерии: На что мы смотрели при выборе платного решения (AI-фильтрация, нативные Quality Gates и работающий Policy Engine) и т.д.
• Реальность против маркетинга: с какими проблемами пришлось столкнуться при миграции, и почему «интеграция за 5 минут» — это обычно миф.
• Власть над конвейером: как мы внедрили Quality Gates и заставили безопасность стать частью спринта.
В докладе честно разберем наш путь от open-source до коммерческой ASOC. Почему ручной триаж — это data overload без рычагов, и как мы выбирали систему, способную реально управлять безопасностью, а не просто складировать алерты.
О чем поговорим:
• Точка кипения: почему DefectDojo перестал тянуть нагрузку и превратился в «тормоз» процесса.
• Критерии: На что мы смотрели при выборе платного решения (AI-фильтрация, нативные Quality Gates и работающий Policy Engine) и т.д.
• Реальность против маркетинга: с какими проблемами пришлось столкнуться при миграции, и почему «интеграция за 5 минут» — это обычно миф.
• Власть над конвейером: как мы внедрили Quality Gates и заставили безопасность стать частью спринта.
Информация о спикере
Александр Парамонов
Точка Банк
В безопасности более 10 лет. Побывал на разных ролях от secops до appsec. Везде пытаюсь найти уязвимости. Участник в баг Баунти программах по настроению и зову сердца. До сих пор не знаю кем хочу стать когда вырасту :)
- Александр ПарамоновТочка БанкВ безопасности более 10 лет. Побывал на разных ролях от secops до appsec. Везде пытаюсь найти уязвимости. Участник в баг Баунти программах по настроению и зову сердца. До сих пор не знаю кем хочу стать когда вырасту :)
Все доклады секции