Comments 7
Включите SAST прямо в CI и автоматический тикет high‑risk в ваш таск трекер.
Хотелось бы в общих чертах понять, на каком языке написана эта статья.
Добрый день?
Извините, но что смущает?
Что при сработке будет приходить критичный риск в ваш трекер?
Смущает предложение из 7 русских и 7 английских слов вперемешку.
Особенно в области ИБ, которая, казалось бы, должна основываться на отечественной нормативной базе и, как следствие, терминологии.
Спасибо большое за Ваше мнение, есть общие практики, которые обозначаются английскими словами и, как правило в разработке используется английский язык.
SAST (Static Application Security Testing) - статический анализ кода на уязвимости, до его выполнения.
CI (Continuous Integration) - процесс автоматического сборки и тестирования кода при коммите.
ℹ️ Интеграция SAST в CI позволяет выявлять уязвимости на раннем этапе.
Автоматический тикет high-risk - ещё один элемент автоматизации: если найдена уязвимость с высоким риском, создаётся задача в трекере задач (например, Jira), чтобы разработчики не пропустили инцидент.
Вы хотите на основе отечественной нормативки заменить SAST, DAST, CI e.t.c. на ПОД, КАО, САО, ДАО... Видимо все уже стали забывать, что пока ФСТЭК разродилась этими документами уже лет так 10 в цивилизованном мире данные направления выстраивались и развивались. А ФСТЭК со своим ИСП РАН пришли на всё готовенькое, натянули на практические аспекты кучу псевдонаучности и теперь всех заставляют этому соответствовать.
Давайте всё таки отделять статьи, написанные про практическую безопасность и бумажное лицемерие для какого-то соответствия галочкам.
Ну давайте отделять. Начнём с того, что определимся, кого интересует практическая безопасность? Может быть, собственника бизнеса? Так он вряд ли будет читать статьи про SAST. А технического специалиста интересует, как не сесть (или не попасть под административку/дисциплинарку, у кого требования попроще). И для этого нужны ПОД, КАО и особенно Дао.
У Вас в профиле почему-то написано “Обеспечиваю соответствие требованиям ФСТЭК/ФСБ/РКН/МинЦифры”, а не “цивилизованного мира”. Лицемерить-то не надо на техническом сайте.
Если принять за аксиому то, что владельцам бизнеса не нужна практическая безопасность, то тогда и статьи технического плана писать не нужно. Достаточно красивых презентаций и выступлений об очередных достижениях вершин в удалении лицензий с opensource приложений и раскрашивая в свои цвета и придумывая свои названия.
Поверьте, грамотный технический специалист не будет работать там, где можно сесть. Да, сейчас всячески заманивают во всякие СуКИИ, чтобы найти зильц-председателя по 250, т.к. само руководство не хочет сидеть. Но и здесь для того, чтобы не было инцидента КБ не нужны бумажки - нужна практическая безопасность.
Да, я обеспечиваю соответствие требованиям... так, чтобы это удовлетворяло данных регуляторов. Но это не значит, что я согласен с данными требованиями. Просто я считаю, что где родился - там и пригодился.
Почему «витрина достижений» информационной безопасности работает далеко не везде