Комментарии 2
Одна из самых больших проблем автоматического секурити сканера — в полном отсутствии грамотных ИБ специалистов, которые занимаются этим интегрированием.
Примеров много — некритичные уязвимости в одной из библиотек фреймворка. Саму библиотеку обновлять некорректно, нужно обновлять весь фреймворк (если в новой версии эта библиотека обновлена). Но в базе уязвимостей это не будет считаться за фикс — явно проблемы ИБ и их базы
Или например критичная «уязвимость» в скрипте тестирования, который собственно и задумывался для теста конкретной уязвимости. И этот скрипт работает только в тестовом енвайрнменте, и в продакшене его естественно даже физически нет. Но прекрасно интегрированная ИБ система понятия не имеет о таких кейсах и ИБмакаки инженеры шлют отчеты о том, что есть уязвимость и в прод это нельзя, и ругаться с ними бесполезно.
Подобные случаи наблюдал в разных проектах, особенно если какая-то интегрированная ентерпрайз ИБ система интегрируется товарищами из известной аутсорс страны №1 в мире.
Примеров много — некритичные уязвимости в одной из библиотек фреймворка. Саму библиотеку обновлять некорректно, нужно обновлять весь фреймворк (если в новой версии эта библиотека обновлена). Но в базе уязвимостей это не будет считаться за фикс — явно проблемы ИБ и их базы
Или например критичная «уязвимость» в скрипте тестирования, который собственно и задумывался для теста конкретной уязвимости. И этот скрипт работает только в тестовом енвайрнменте, и в продакшене его естественно даже физически нет. Но прекрасно интегрированная ИБ система понятия не имеет о таких кейсах и ИБ
Подобные случаи наблюдал в разных проектах, особенно если какая-то интегрированная ентерпрайз ИБ система интегрируется товарищами из известной аутсорс страны №1 в мире.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пыщ-пыщ и pentest