Результаты поиска по запросу «[IAST]» / Хабр

Публикации Хабы Компании Пользователи Комментарии

ptsecurity 28 мар 2022 в 16:27

Как выйти на уровень безопасной разработки?

1 мин

1.1K

Блог компании Positive Technologies Информационная безопасность *Программирование *Совершенный код *DevOps *

82% всех уязвимостей инфраструктуры содержатся в коде приложения. Каждая пятая из них грозит компании серьезными последствиями. Для того, чтобы находить слабые места еще на стадии разработки, нужен анализатор кода, такой, как PT Application Inspector. Он комбинирует технологии SAST, DAST, IAST и SCA и встраивается в процессы любой компании.

⏰7 апреля приглашаем разработчиков, инженеров DevOps и DevSecOps и внутренних аудиторов безопасности кода на онлайн-митап.

Эксперты Positive Technologies расскажут:

· о методах анализа и абстрактной интерпретации как способе повышения качества анализа;

· как посчитать выгоду DevSecOps для компании,

· как раз и навсегда подружить ИБ и разработку;

· какие новые фичи появились у PT Application Inspector версии 4.0.

Узнать больше и зарегистрироваться

ptsecurity 22 авг 2013 в 13:43

Скрестить ужа с ежом. Найти все-все 0-day. Захватить Вселенную!11

4 мин

8.4K

Блог компании Positive Technologies Информационная безопасность *

Краткое содержание

Несовместимость DAST / SAST.
IAST: Buzzword и реальность.
Третий путь.

Как мы отмечали ранее, у систем поиска уязвимостей SAST и DAST есть как преимущества, так и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выработано как минимум три подхода к решению этой задачи.

Читать дальше →

+14

yaleksar 10 сен 2019 в 10:30

«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа

9 мин

6.5K

Блог компании Ростелеком-Солар Информационная безопасность *Разработка мобильных приложений *Реверс-инжиниринг *

На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результатом. Однако в некоторых случаях применение статического анализа ограничено — например, когда нет исходного кода. В этой статье мы расскажем про довольно редкую, но очень полезную технологию, которая позволяет совместить плюсы статического и динамического подходов — статический анализ исполняемого кода.

Читать дальше →

+25

host_m 1 сен 2020 в 09:00

Как использовать простую утилиту для поиска уязвимостей в программном коде

4 мин

8.1K

Блог компании VDSina.ru Информационная безопасность *Тестирование веб-сервисов *Управление разработкой *DevOps *

Перевод

Graudit поддерживает множество языков программирования и позволяет интегрировать тестирование безопасности кодовой базы непосредственно в процесс разработки.

^{Источник: Unsplash (Markus Spiske)}

Тестирование — важная часть жизненного цикла разработки программного обеспечения. Существует очень много видов тестирования, каждый из них решает свою задачу. Сегодня я хочу поговорить о поиске проблем безопасности в коде.

Очевидно, что в современных реалиях разработки программного обеспечения важно обеспечить безопасность процессов. В своё время был даже введён специальный термин DevSecOps. Под этим термином понимают ряд процедур, направленных на выявление и устранение уязвимостей в приложении. Существуют специализированные open source решения для проверки уязвимостей в соответствии со стандартами OWASP, которые описывают различные типы и поведение уязвимостей в исходном коде.

Читать дальше →

+26

AlexHost 28 дек 2020 в 11:27

Безопасная разработка: SAST, DAST, IAST и RASP

4 мин

31K

Блог компании AlexHost Информационная безопасность *Программирование *Разработка мобильных приложений *

По статистике 90% инцидентов безопасности возникают в результате использования злоумышленниками известных программных ошибок. Естественно, что устранение уязвимостей на этапе разработки ПО значительно снижает риски информационной безопасности.

Для этого в помощь разработчикам был создан целый ряд технологий, позволяющих выявлять недостатки безопасности на ранних этапах, избавляясь от них до релиза продукта. К таким технологиям можно отнести:

SAST
DAST
IAST
RASP

SAST и DAST

SAST (Static Application Security Testing) — тестирование «белого ящика», существует уже более десяти лет. Позволяет разработчикам находить уязвимости безопасности в исходном коде приложения на ранних этапах жизненного цикла разработки ПО. SAST также обеспечивает соответствие руководствам и стандартам кодирования без фактического выполнения базового кода.

DAST (Dynamic Application Security Testing) — тестирование «черного ящика», может обнаруживать уязвимости и слабые места в работающем приложении, обычно веб-приложениях. Это достигается за счет использования методов внедрения ошибок в приложении, таких как передача вредоносных данных в программное обеспечение, для выявления распространенных уязвимостей безопасности, например, SQL-инъекций и межсайтовых сценариев.

DAST также может пролить свет на проблемы времени выполнения, такие как:

проблемы аутентификации и конфигурации сервера
недостатки, видимые только при входе известного пользователя

Обнаружить это с помощью статистического анализа нельзя.

Читать дальше →

-1

al_sarkisov 25 июл 2022 в 15:48

Виды Application Security Testing. Как не запутаться среди SAST, DAST и IAST

10 мин

5.5K

Блог компании PVS-Studio Информационная безопасность *Программирование *Управление разработкой *DevOps *

Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST).

Читать дальше →