0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: devsecops, dast, динамический анализ кода</p>
1
<p>Теги: devsecops, dast, динамический анализ кода</p>
2
<p>В процессе<a>трансформации DevOps в DevSecOps</a>не обойтись без применения специальных подходов. Про<strong><a>SAST</a></strong>мы уже рассказывали, на очереди<strong>DAST</strong>.</p>
2
<p>В процессе<a>трансформации DevOps в DevSecOps</a>не обойтись без применения специальных подходов. Про<strong><a>SAST</a></strong>мы уже рассказывали, на очереди<strong>DAST</strong>.</p>
3
<p>На практике динамические анализаторы кода позволяют находить такие уязвимости, как переполнение буфера, SQL-инъекции и так далее, причем происходит все по методу черного ящика. По сути, само использование DAST -- это уже существенный шаг в сторону<strong>DevSecOps</strong>-практик.</p>
3
<p>На практике динамические анализаторы кода позволяют находить такие уязвимости, как переполнение буфера, SQL-инъекции и так далее, причем происходит все по методу черного ящика. По сути, само использование DAST -- это уже существенный шаг в сторону<strong>DevSecOps</strong>-практик.</p>
4
<p>Говоря об инструментах динамического анализа, следует сказать, что это, по сути, некая имитация работы пользователя с программным приложением. Когда речь идет о web-приложении, отправляются запросы, имитируется работа клиента, кликаются кнопки на фронтенде, посылаются искусственные данные из формы: скобки, кавычки, символы в различных кодировках. Задача -- посмотреть, каким образом приложение функционирует и обрабатывает внешние данные.</p>
4
<p>Говоря об инструментах динамического анализа, следует сказать, что это, по сути, некая имитация работы пользователя с программным приложением. Когда речь идет о web-приложении, отправляются запросы, имитируется работа клиента, кликаются кнопки на фронтенде, посылаются искусственные данные из формы: скобки, кавычки, символы в различных кодировках. Задача -- посмотреть, каким образом приложение функционирует и обрабатывает внешние данные.</p>
5
<p>Система дает возможность проверять шаблонные уязвимости в<strong>Open Source</strong>. При этом<strong>DAST</strong>ведь "не знает", какой<strong>Open Source</strong>мы применяем, поэтому просто кидает "зловредные" паттерны, анализируя ответы сервера. И тут надо быть внимательным, т. к. если тест безопасности проводится на том же стенде, на котором работают тестировщики, возможны неприятные последствия. Среди возможных нюансов:</p>
5
<p>Система дает возможность проверять шаблонные уязвимости в<strong>Open Source</strong>. При этом<strong>DAST</strong>ведь "не знает", какой<strong>Open Source</strong>мы применяем, поэтому просто кидает "зловредные" паттерны, анализируя ответы сервера. И тут надо быть внимательным, т. к. если тест безопасности проводится на том же стенде, на котором работают тестировщики, возможны неприятные последствия. Среди возможных нюансов:</p>
6
<ol><li>Высокая нагрузка на сервер и сеть.</li>
6
<ol><li>Высокая нагрузка на сервер и сеть.</li>
7
<li>Отсутствие интеграций.</li>
7
<li>Отсутствие интеграций.</li>
8
<li>Вероятность изменения настроек анализируемого программного приложения.</li>
8
<li>Вероятность изменения настроек анализируемого программного приложения.</li>
9
<li>Отсутствие поддержки нужных технологий.</li>
9
<li>Отсутствие поддержки нужных технологий.</li>
10
<li>Сложность настройки.</li>
10
<li>Сложность настройки.</li>
11
</ol><p>Таким образом, возможные риски надо учитывать. Идеальный вариант -- отдельный стенд для тестирования безопасности, изолированный от прочего окружения.</p>
11
</ol><p>Таким образом, возможные риски надо учитывать. Идеальный вариант -- отдельный стенд для тестирования безопасности, изолированный от прочего окружения.</p>
12
<p>Важно учесть и тот факт, что это можно применять в качестве аналога<strong>нагрузочного тестирования</strong>. Например, на 1-ом этапе вы можете включить динамический сканер в 10 и более потоков чтобы узнать, что получится -- практика показывает, что ничего хорошего.</p>
12
<p>Важно учесть и тот факт, что это можно применять в качестве аналога<strong>нагрузочного тестирования</strong>. Например, на 1-ом этапе вы можете включить динамический сканер в 10 и более потоков чтобы узнать, что получится -- практика показывает, что ничего хорошего.</p>
13
<h3>Ресурсы DAST</h3>
13
<h3>Ресурсы DAST</h3>
14
<p>Пример ресурсов для использования:</p>
14
<p>Пример ресурсов для использования:</p>
15
<p>Тут отдельно можно выделить<strong>Burp Suite</strong>- не что иное, как "швейцарский нож", известный практически любому специалисту по информационной безопасности. Он очень удобен, его применяют многие. Очень рекомендуется к применению.</p>
15
<p>Тут отдельно можно выделить<strong>Burp Suite</strong>- не что иное, как "швейцарский нож", известный практически любому специалисту по информационной безопасности. Он очень удобен, его применяют многие. Очень рекомендуется к применению.</p>
16
<p><em>По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.</em></p>
16
<p><em>По материалам https://habr.com/ru/company/oleg-bunin/blog/448488/.</em></p>
17
<p>Хотите знать больше? Добро пожаловать на курс<a>DevSecOps</a>!</p>
17
<p>Хотите знать больше? Добро пожаловать на курс<a>DevSecOps</a>!</p>
18
18