Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

SAST & DAST наброски...

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()
Собственно тема родная, так как последние годы успешно занимался в том числе и созданием статических анализаторов.
Сейчас статические анализаторы интересуют в меньшей степени, разрабатываю динамический анализатор SWAN.
Тем не менее, хочу остановиться на этой проблематике более подробно.
Мифов и заблуждений в части анализа кода масса.
И сразу тезисы:
  1. Статические анализаторы имеют ряд недостатков и особенностей. Они, как правило работают на высоком уровне абстракции языков программирования и исходных текстов ПО.
  2. Часто путают правила относящиеся к качеству кода и безопасности кода.
  3. Проблема интерпретации угроз информационной системы на уровень правил для исходных текстов и тем более на уровень исполняемого кода до сих пор не решена.
Вопросов и интересных тем полно. Как говорит Рустэм Хайретдинов (http://www.infowatch.ru/products/appercut) по каждому вопрос можно книгу написать.

Так вот самый интересный вопрос не в том, КАК искать и даже не ЧТО искать. Главный вопрос: как получается ТО ЧТО МЫ ИЩЕМ! Или что мы контролируем и разрешаем/запрещаем в отношении уже DAST.

Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.