SAST - Статический анализ кода - подборка материала
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей
Видео:
Application Security Testing by Semi Yulianto
Static Analysis for Dynamic Assessments by Greg Patton
SAST, борьба с потенциальными уязвимостями - Андрей Карпов
Внедрение SAST: теория vs практика - Ярослав Александров
Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao
What is Static Analysis Within CI/CD Pipelines? by Logan Raki
Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков
«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov
#sast #article #video #dev
Статический анализ кода - это метод анализа исходного кода на наличие уязвимостей без его запуска. Это позволяет решить ряд сложностей на этапе Test и Develop в жизненном цикле ПО:
1) Трата времени на ожидание проверки кода старшим разработчиком на наличие уязвимостей
2) Пропуск уязвимостей во время code review, недостаточное уделение внимания вопросам ИБ
3) Выявлять уязвимости на более поздних этапах жизненного цикла обходится дороговато - дополнительные трудозатраты на переписывание кода в случае обнаружения уязвимостей
Видео:
Application Security Testing by Semi Yulianto
Static Analysis for Dynamic Assessments by Greg Patton
SAST, борьба с потенциальными уязвимостями - Андрей Карпов
Внедрение SAST: теория vs практика - Ярослав Александров
Статьи:
How to integrate SAST into the DevSecOps pipeline in 5 simple steps by Meera Rao
What is Static Analysis Within CI/CD Pipelines? by Logan Raki
Ищем уязвимости в коде: теория, практика и перспективы SAST - Владимир Кочетков
«Hello, Checkmarx!». Как написать запрос для Checkmarx SAST и найти крутые уязвимости - Maxim Tyukov
#sast #article #video #dev
YouTube
Tutorial Series: Application Security - App Security Testing (DAST & SAST)
A short tutorial that explains the most common application security testing conducted by organizations to quickly identify the existence of vulnerabilities in their applications.
Equipped with live demos on how to perform Dynamic Analysis Software Testing…
Equipped with live demos on how to perform Dynamic Analysis Software Testing…
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
Тактика, методы и инструменты для анализа и взлома кластеров Kubernetes, перехват трафика service mesh, обход фильтров системных вызовов во время выполнения, цепные атаки, которые идут от компрометации среды сборки до взлома продуктивных приложений. Здесь же практические советы и рекомендации от NCC Group.
https://youtu.be/cRbHILH4f0A
#k8s #video #ops #attack
YouTube
Command and KubeCTL: Real-World Kubernetes Security for Pentesters - Mark Manning (Shmoocon 2020)
Kubernetes is a security challenge that many organizations need to take on, and we as pentesters, developers, security practitioners, and the technically curious need to adapt to these challenges. In this talk we will look at tactics, techniques, and tools…