![Open source: что это и зачем его используют при разработке](/upload/cssinliner_webp/iblock/01d/9v5n0f5qqeq2w6vqaae6fu8f1u6a0uac/open_source.webp)
Open source: что это и зачем его используют при разработке
Узнать больше05.10.2021
Уязвимости в приложениях, используемых бизнесом в работе, — основной вектор атаки киберпреступников. Почти в 90% случаев атаки на корпоративные информационные системы реализуются как раз через программное обеспечения и приложения. Их защите нужно уделить должное внимание.
Абсолютно неуязвимых приложений не бывает. Поэтому лучше не надеяться на удачу, а позаботиться о поиске уязвимостей программного обеспечения своими силами. Бизнес может реализовать это без штатных разработчиков и тестировщиков. С этой целью мы разработали статистический анализатор безопасности приложений Solar appScreener. Он осуществляет проверку методом SAST, которую принято называть тестированием методом белого ящика (whitebox-анализ). Чтобы понять эффект для бизнеса от его использования, целесообразно сравнить методики «черного» и «белого» ящиков.
Его считают самым простым и распространенным. Часто тестирование методом черного ящика отождествляют с DAST – динамическим анализом.
Данный метод не требует доступа к исходному коду. Сводится к проверке правильности вывода (выходных данных) для данного ввода (входных данных). По сути, это воздействие на интерфейс и компоненты программы, создание различных ситуаций и проверка того, как они на такие воздействия реагируют.
Организовать воздействие на анализируемое приложение несложно. За счет этого тестирование методом черного ящика и получило широкое распространение. Но есть здесь свои нюансы. Среди них:
Эти нюансы обусловливают большой процент необнаруженных проблем. Одним-двумя тестами все, как правило, не обходится. Требуется несколько итераций, что может занять немало времени.
Несмотря на минусы, метод используется активно. Все благодаря его доступности и относительно простой реализации. Но есть одна тонкость: лучше всего протестировать программу сможет команда профессиональных тестировщиков. Продумать самостоятельно и реализовать разные сценарии сложно.
Рассматривая этот вариант, нужно учитывать все особенности, не надеяться на то, что будет обнаружено 100% уязвимостей и не декларированных возможностей программного обеспечения.
Whitebox-тестирование отождествляют с SAST. Это статистический анализ которое не требует запуска и выполнения программного обеспечение. Анализ производится с доступом к исходному коду. При разработке Solar appScreener мы делали упор именно на эту технологию.
SAST-инструмент сканирует исходный код программ и приложений, выявляет потенциальные уязвимости. Среди плюсов такого подхода:
Среди нюансов и возможных сложностей использования white box метода можно выделить:
Благодаря Solar appScreener, а также аналогичным SAST-инструментам, организовать тестирование на уязвимости методом белого ящика можно без привлечения разработчиков. Итоговая информация предоставляется в формализованном виде, удобном для восприятия даже человеком, далеким от сферы разработки. Такие решения ориентированы на специалистов по информационной безопасности. Это дополнительная составляющая защиты корпоративной IT-инфраструктуры, с помощью которой вы сможете повысить уровень ее защищенности от различных угроз.
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.