Андрей Карпов на Industrial++ 2024

Изменения в разработке безопасного ПО после уточнения методологии статического анализа кода (ГОСТ Р 71207–2024)

Культура разработки в производственных компаниях, инженерная культура

Защита информации

Методы и техника разработки ПО

Безопасность программного кода, SQL и прочие инъекции

Методологии и процессы разработки ПО; Сроки и приоритеты

Управление разработкой

Безопасность

Программный комитет ещё не принял решения по этому докладу

Целевая аудитория

Разработчики и менеджеры проектов, которые занимаются созданием безопасного программного обеспечения, а также все неравнодушные к повышению качества и надёжности кода.

Тезисы

Одной из составляющих разработки безопасного программного обеспечения является статический анализ кода. Но что именно это такое? Если используется SpotBugs для Java кода, этого достаточно? Проверка кода перед релизом, этого достаточно? У нас DevOps специалисты отвечают за анализ кода, это ok? Введённый 1 апреля 2024 года ГОСТ отвечает на подобные вопросы и формализует процесс использования статических анализаторов в безопасной разработке ПО. Из доклада вы узнаете, надо ли в связи с новым стандартом вам что-то менять в своих процессах разработки и если да, то что именно.

Андрей Карпов

PVS-Studio

Андрей Карпов более 15 лет занимается темой статического анализа кода и качества программного обеспечения. Автор большого количества статей, посвящённых написанию качественного кода на языке C++. Один из основателей проекта PVS-Studio. Долгое время являлся CTO компании и занимался разработкой С++ ядра анализатора. Основная деятельность на данный момент — управление командами, обучение сотрудников и DevRel деятельность.

PVS-Studio

Компания разрабатывает, продвигает и продаёт статический анализатор C, C++, C# и Java-кода PVS-Studio. Это инструмент для программистов, который экономит деньги компаний за счет раннего обнаружения программных ошибок и потенциальных уязвимостей путём анализа исходного кода.