Comments 12
Очень мощная статья, спасибо!
Многое хотелось бы видеть более расширено. Например:
Интересно, но непонятно, как это будет выглядеть на практике, хорошо бы простой пример рассмотреть. Статья по ссылке не дает понимания.
Многое хотелось бы видеть более расширено. Например:
Довольно простой инструмент для самостоятельного моделирования угроз. Пользователь отрисовывает архитектуру ПО, указывая на ней угрозы, которые могут следовать по методологии STRIDE.
Интересно, но непонятно, как это будет выглядеть на практике, хорошо бы простой пример рассмотреть. Статья по ссылке не дает понимания.
Для моделирования угроз я использую Microsoft Threat Modeling Tool
Отличная и очень детальная статья!
Большое спасибо!
Примечание. На мой взгляд, большой проблемой во многих open-source инструментах, особенно в SAST, так это отсутствие унификации по части вывода результатов. Очень малая часть этих инструментов предоставляет CWE к найденным срабатываниям, из-за чего возникают проблемы на уровне менеджмента уязвимостей. На текущий момент все коммерческие решения, которые я знаю, приводят результат найденных уязвимостей к CWE и CVE.
Действительно, есть такая проблема — интеграция результатов с различных инструментов. И проблема не только в приведении их к базе CWE/CVE. А немного более широкая. Гитлаб, кстати, в своих сканерах отчасти ее решает — в ключе общего формата для отображения в интерфейсе Web самого гитлаба результатов сканирования, но хочется большего. Чтобы было и нормальное отображение, и управление, и оповещения по новым уязвимостям и все такое.
Вроде бы Ваш коллега Шабалин Юрий рассказывал о наработках SwordFish в области интеграции различных инструментальных средств в AppSec HUB. Интересно — процесс ведь не закончился? Продукт получился?
Спасибо!
По поводу AppSec.Hub в этой статье я также немного коснулся нашего инструмента.
Сейчас он активно развивается, продается и используется у наших заказчиков. Мы хотели отдельно написать статью по управлению уязвимостями и немного больше рассказать про оркестрацию и AppSec.Hub.
По поводу AppSec.Hub в этой статье я также немного коснулся нашего инструмента.
Мы в своих практиках используем коммерческое решение собственной разработки AppSec.Hub, которое помимо управления уязвимостями, умеет также создавать и экспортировать готовые DevSecOps-пайплайны в CI/CD системы.
Сейчас он активно развивается, продается и используется у наших заказчиков. Мы хотели отдельно написать статью по управлению уязвимостями и немного больше рассказать про оркестрацию и AppSec.Hub.
Лучший обзор такого рода инструментов, что я когда-либо видел! Отличная работа!
Sign up to leave a comment.
От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps