Pull to refresh
1
0
Антон Башарин @nirashab

Технический директор

Send message

У нас, как у вендора ПО, хорошо работают требования клиентов - нельзя эксплуатировать в ПРОМ ПО содержащее критические уязвимости. Поэтому тут всё однозначно.

Из общения с клиентами вынес, что чаще всего работает механизм "договориться на берегу", какие значения будут считаться "приемлемыми", а какие - нет. Если такой договорённости нет, то можно апеллировать к международному опыту, статистике эксплойтов или нарушению требований регулятора.

Иногда работает самое банальное - ТОП уязвимых или неуязвимых систем (по STD или WRI). Делаете рейтинг и рассылаете на регулярной основе заинтересованным лица - для информации. Со временем начинает работать спортивный принцип: почему наша система хуже (ниже или выше в рейтинге), чем у Петрова?

В открытых источниках подобных сравнений не видел. Из личного опыта, сравнивали результаты пентеста прошлого релиза системы (до внедрения SAST/SCA) и текущего (после внедрения). Эффект был. Если "до" отчёт содержал около 100 пунктов, то "после" было только 2 уязвимости.

15408 - это больше про то, как формировать доверие, выполнение каких требований его формирует. То, что вы спрашиваете, в данном ГОСТе не описано. Конкретика, по идее, должна быть в 56939, который сейчас уточняется. Если надо здесь и сейчас, то это лучше обращаться к консультантам, которые собаку съели на этих проверках.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Works in
Date of birth
Registered
Activity

Specialization

Chief Technology Officer (CTO), Software Architect
Java
Git
SQL
OOP
PostgreSQL
Docker
Linux