0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>О<strong><a>DevSecOps</a></strong>сказано уже немало. Однако важно понимать, что соответствующая трансформация DevOps в DevSecOps потребует знания как ряда современных технологий, так и некоторых методов обеспечения безопасности ПО. Давайте рассмотрим, какие конкретно технологии могут пригодиться.</p>
1
<p>О<strong><a>DevSecOps</a></strong>сказано уже немало. Однако важно понимать, что соответствующая трансформация DevOps в DevSecOps потребует знания как ряда современных технологий, так и некоторых методов обеспечения безопасности ПО. Давайте рассмотрим, какие конкретно технологии могут пригодиться.</p>
2
<h2>DAST</h2>
2
<h2>DAST</h2>
3
<p>В первую очередь рассмотрим возможность по встраиванию средств динамического тестирования безопасности ПО. И здесь уместно будет упомянуть<strong>DAST</strong>. На практике динамические анализаторы программного кода позволят обнаружить уязвимости в коде, включая переполнение буфера, SQL-инъекции и т. п., причем происходит это методом черного ящика. Можно сказать, что применение динамических анализаторов -- это весомый шаг в сторону DevSecOps-практик.</p>
3
<p>В первую очередь рассмотрим возможность по встраиванию средств динамического тестирования безопасности ПО. И здесь уместно будет упомянуть<strong>DAST</strong>. На практике динамические анализаторы программного кода позволят обнаружить уязвимости в коде, включая переполнение буфера, SQL-инъекции и т. п., причем происходит это методом черного ящика. Можно сказать, что применение динамических анализаторов -- это весомый шаг в сторону DevSecOps-практик.</p>
4
<h2>RASP</h2>
4
<h2>RASP</h2>
5
<p>Второй момент -- это самозащита приложений Runtime. Мы говорим о средстве защиты, используемом непосредственно при выполнении программы. На практике<strong>RASP</strong>выполняет анализ поведения ПО, в результате чего можно говорить о непрерывном анализе безопасности.</p>
5
<p>Второй момент -- это самозащита приложений Runtime. Мы говорим о средстве защиты, используемом непосредственно при выполнении программы. На практике<strong>RASP</strong>выполняет анализ поведения ПО, в результате чего можно говорить о непрерывном анализе безопасности.</p>
6
<h2>IAST</h2>
6
<h2>IAST</h2>
7
<p>Как же без интерактивного тестирования безопасности? Сама по себе технология IAST позволяет анализировать приложение изнутри в процессе его работы. Происходит отслеживание выполнения кода в памяти и поиск определенных событий, способных привести к уязвимости. Впоследствии такие события анализируются и проверяются.</p>
7
<p>Как же без интерактивного тестирования безопасности? Сама по себе технология IAST позволяет анализировать приложение изнутри в процессе его работы. Происходит отслеживание выполнения кода в памяти и поиск определенных событий, способных привести к уязвимости. Впоследствии такие события анализируются и проверяются.</p>
8
<h2>SAST</h2>
8
<h2>SAST</h2>
9
<p>Средства статического тестирования тоже имеют значение. Говоря о SAST, мы говорим о способе проверки кода без необходимости запуска самой программы. Технология позволяет находить потенциальные уязвимости непосредственно в исходном программном коде, тем самым предотвращая те же уязвимости нулевого дня. Тут можно упомянуть одну из наиболее популярных классификаций -- Common Weakness Enumeration или же CWE. По сути, CWE -- это официальный реестр общих дефектов безопасности, которые могут применять хакеры в целях получения несанкционированного доступа. На деле применение SAST-инструментов во время разработки поможет вам избежать попадания ошибок на последующий уровень - CVE (Common Vulnerabilities and Exposures), то есть в базу данных общеизвестных уязвимостей по ИБ.</p>
9
<p>Средства статического тестирования тоже имеют значение. Говоря о SAST, мы говорим о способе проверки кода без необходимости запуска самой программы. Технология позволяет находить потенциальные уязвимости непосредственно в исходном программном коде, тем самым предотвращая те же уязвимости нулевого дня. Тут можно упомянуть одну из наиболее популярных классификаций -- Common Weakness Enumeration или же CWE. По сути, CWE -- это официальный реестр общих дефектов безопасности, которые могут применять хакеры в целях получения несанкционированного доступа. На деле применение SAST-инструментов во время разработки поможет вам избежать попадания ошибок на последующий уровень - CVE (Common Vulnerabilities and Exposures), то есть в базу данных общеизвестных уязвимостей по ИБ.</p>
10
<h2>SCA</h2>
10
<h2>SCA</h2>
11
<p>Тут речь идет непосредственно об анализе состава кода. В результате вы сможете находить уязвимости в компонентах, имеющих открытый код.</p>
11
<p>Тут речь идет непосредственно об анализе состава кода. В результате вы сможете находить уязвимости в компонентах, имеющих открытый код.</p>
12
<h2>Вывод</h2>
12
<h2>Вывод</h2>
13
<p>Таким образом, DevSecOps представляет собой способ по интеграции задач безопасности в DevOps-методологию. Ну а для решения поставленных задач потребуется освоение новых подходов, инструментов и технологий.</p>
13
<p>Таким образом, DevSecOps представляет собой способ по интеграции задач безопасности в DevOps-методологию. Ну а для решения поставленных задач потребуется освоение новых подходов, инструментов и технологий.</p>
14
<p><em>По материалам блога https://pvs-studio.com/ru/blog.</em></p>
14
<p><em>По материалам блога https://pvs-studio.com/ru/blog.</em></p>
15
<p>Хотите знать больше? Добро пожаловать на курс<a>DevSecOps</a>!</p>
15
<p>Хотите знать больше? Добро пожаловать на курс<a>DevSecOps</a>!</p>
16
16