ptsecurity Feb 26 at 16:02

Плагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМС

Easy

6 min

4.6K

Positive Technologies corporate blogInformation Security*Studying in ITIT careerDevOps*

Review

+11

Comments 6

kovserg Feb 26 at 16:14

Чего-то я не понял: как проверить что плагин к ide или его обновление без вирусов?

ptsecurity Feb 26 at 16:32

Привет! Маркетплейсы IDE проводят свои проверки перед публикацией плагинов.

-1

LuigiVampa Feb 26 at 18:18

Доводилось писать плагины и для IDE (Android Studio) и для сборки (Gradle). Технически - очень непростое занятие, документации либо очень мало (как в случае с платформой Intellij), либо черезчур много и в ней сложно разобраться (это у Gradle), долго вникать в API, приходится смотреть на существующие в опенсорсе примеры и поначалу тратить довольно много времени на самые простые действия, но результат того стоит. Иметь интеграцию на уровне IDE, вместо, например, работы руками или вызова каких-то внешних инструментов, на долгой дистанции выливается в значительную экономию ресурса времени, а, в случае безопасности, ещё и внимания, т.к. человек легко может упустить какую-то небольшую ошибку, которая имеет шансы вылиться в серьёзные проблемы с безопасностью в проде

Escape_IS Feb 27 at 06:18

С IDE всё понятно, а плагины для работы анализаторов внутри CI / CD - их тоже собираете и отдаёте в community?

ptsecurity Feb 27 at 13:10

Привет! Плагины для работы основного SAST анализатора PT Application Inspector внутри CI/CD мы отдаём с поставкой продукта, если речь про это. Без использования продукта от них мало пользы, так как они выполняют по сути функции раннеров от CI/CD до сервера PT Application Inspector, отдавая задачу и возвращая результат.

andrettv Feb 27 at 22:16

В таблице с плагинами не хватает информации о назначении плагинов. Или это всё линтеры? Есть для IAST, SBOM?..