Comments 7
Молодцы! Действительно похоже на дизруптивный подход.
Скажите пожалуйста а что имеется ввиду под ежегодными тренингами для разработчиков? Тренинги по разработке безопасного кода?
Скажите пожалуйста а что имеется ввиду под ежегодными тренингами для разработчиков? Тренинги по разработке безопасного кода?
Спасибо за статью. А что для SAST использовали? Я в статье не нашел упоминания. Если, конечно, можете раскрывать детали.
UFO just landed and posted this here
Если имеется ввиду время сканированяи, то время распрееляется примерно так
— DAST, как я и говорил, трудно настроить на итеративное сканирование, т.к. придется определить наличие новых входных точек и измененных праметров. Поэтому DAST используем на момент предрелизного регрессионного тестирования. Такой скан на больших проектах может доходить до нескольких часов.
— SAST хорошо подходит для итеративного сканирования, здесь он может занимать буквально несколько минут, т.к. ему понадобится только достроить новые графы, проходящие через новый код.
— DAST, как я и говорил, трудно настроить на итеративное сканирование, т.к. придется определить наличие новых входных точек и измененных праметров. Поэтому DAST используем на момент предрелизного регрессионного тестирования. Такой скан на больших проектах может доходить до нескольких часов.
— SAST хорошо подходит для итеративного сканирования, здесь он может занимать буквально несколько минут, т.к. ему понадобится только достроить новые графы, проходящие через новый код.
Sign up to leave a comment.
QIWI Security Development Lifecycle