Безопасность приложений
Безопасность приложений (AppSec)
Также известно как: AppSec, Безопасность ПО
Определение
Дисциплина проектирования, разработки, тестирования и эксплуатации ПО, обеспечивающая его устойчивость к злоупотреблениям, подделке и несанкционированному доступу на протяжении всего жизненного цикла.
Примеры
- Добавить сканирование SAST через Semgrep и SCA через Snyk в конвейер GitHub Actions.
- Перед каждым релизом запускать DAST-сканирование OWASP ZAP в staging-окружении.
Связанные термины
Безопасный жизненный цикл разработки ПО (SSDLC)
Жизненный цикл разработки, в котором деятельности по безопасности встроены в каждую фазу — от требований и проектирования до кодирования, тестирования, релиза и эксплуатации.
DevSecOps
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
Shift-Left Security
Подход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.
SAST (Static Application Security Testing)
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
OWASP Top 10
OWASP Top 10 — definition coming soon.