Продолжаем разговор об инструментах Security Gate. Если SG Malware Protector защищает нас от уже попавших в экосистему вредоносов, то второй сервис — SG Fast Scanner — создан для быстрого сканирования Merge Request’ов, чтобы не допустить появления новых проблем. 🔹Ранее существовала следующая проблема: разработчик вливает merge request, содержащий, например, уязвимую зависимость. Мы узнаём об этом уже после того, как код попал в основную ветку, и начинается долгий цикл исправления — выпуск патча, новый MR. Схема работала, но создавала временной лаг и требовала эскалаций. 🔹В настоящее время процесс выглядит иначе: инструмент SG Fast Scanner анализирует изменения в коде непосредственно в момент создания merge request. Он выявляет открытые секреты, уязвимые зависимости и различные проблемы через SAST, после чего автоматически оставляет в MR комментарий с предупреждением. Разработчик может исправить проблему сразу, не покидая интерфейс, благодаря чему в основную ветку попадает только безопасный код. 🔹Визуально это выглядит следующим образом: в интерфейсе GitLab появляется комментарий с перечнем обнаруженных проблем — будь то SAST-предупреждения, секреты или уязвимые библиотеки. Интеграция выполняется через настройки интерфейса, без необходимости открывать консоль. Можно даже настроить блокировку вливания небезопасных MR. Что мы получили в итоге? 🔹Уязвимости находят и устраняют до попадания в основную ветку. 🔹Разработчики видят проблемы в своём коде сразу. 🔹Среднее время сканирования MR — чуть больше 21 секунды. 🔹Подключение занимает до 10 минут целыми группами. 🔹Реализован сбор новых зависимостей в единую систему инвентаризации для оперативного реагирования на критические уязвимости 🔹Постоянное улучшение UX на основе обратной связи. 🔹Уязвимости в зависимостях разделены на те, которые были в проекте до MR, и те, которые были добавлены или изменены в рамках данного MR. А планы у нас ещё амбициознее: ▫️интеграция с Security Gate для просмотра сработок прямо в интерфейсе; ▫️плагин для IDE на основе того же API; ▫️автофикс некоторых проблем с помощью LLM; ▫️подключение всех репозиториев GitLab через глобальные хуки, что исключает необходимость настройки для каждого проекта в отдельности. 📱Нам удалось решить проблему каскадных обновлений уязвимых зависимостей. Ранее нередко возникала ситуация, когда рекомендуемая для исправления версия сама содержала новые уязвимости. Из-за этого приходилось проходить повторный цикл обновлений — и так до тех пор, пока не находилась действительно безопасная версия. Теперь Security Gate работает иначе. Инструмент собирает информацию обо всех известных уязвимостях и обо всех доступных версиях зависимости. На основе этих данных формируется конечный перечень безопасных версий, не имеющих уязвимостей. VK Security | Буст этому каналу! #технологии #appsec #devsecops #VKSecurityGate