Коммитить нельзя сканировать: как мы боремся с секретами в коде
Поиск секретов в исходном коде в масштабах VK — непростая задача. Мы предлагаем вам послушать, как мы ее решали, чтобы при случае применить полученные знания на практике. Что будет в докладе: • Выбор оптимальной точки «контроля» секретов — сравнение pre-commit, web и server side hook • Комплексная архитектура решения — описание основных компонентов, связь с AppSec-экосистемой VK • Доработка Gitleaks — почему нас не устраивал вариант «из коробки» и что мы доделали сами Спикер: Александр Карпов DevSecOps-инженер VK