Антон Башарин @nirashab
Технический директор
Информация
- В рейтинге
- Не участвует
- Откуда
- Москва, Москва и Московская обл., Россия
- Работает в
- Дата рождения
- Зарегистрирован
- Активность
Специализация
Chief Technology Officer (CTO), Software Architect
Java
Git
SQL
OOP
PostgreSQL
Docker
Linux
У нас, как у вендора ПО, хорошо работают требования клиентов - нельзя эксплуатировать в ПРОМ ПО содержащее критические уязвимости. Поэтому тут всё однозначно.
Из общения с клиентами вынес, что чаще всего работает механизм "договориться на берегу", какие значения будут считаться "приемлемыми", а какие - нет. Если такой договорённости нет, то можно апеллировать к международному опыту, статистике эксплойтов или нарушению требований регулятора.
Иногда работает самое банальное - ТОП уязвимых или неуязвимых систем (по STD или WRI). Делаете рейтинг и рассылаете на регулярной основе заинтересованным лица - для информации. Со временем начинает работать спортивный принцип: почему наша система хуже (ниже или выше в рейтинге), чем у Петрова?
В открытых источниках подобных сравнений не видел. Из личного опыта, сравнивали результаты пентеста прошлого релиза системы (до внедрения SAST/SCA) и текущего (после внедрения). Эффект был. Если "до" отчёт содержал около 100 пунктов, то "после" было только 2 уязвимости.
15408 - это больше про то, как формировать доверие, выполнение каких требований его формирует. То, что вы спрашиваете, в данном ГОСТе не описано. Конкретика, по идее, должна быть в 56939, который сейчас уточняется. Если надо здесь и сейчас, то это лучше обращаться к консультантам, которые собаку съели на этих проверках.