Безопасность приложений
SCA (Software Composition Analysis)
Также известно как: Безопасность OSS, Сканирование зависимостей
Определение
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Примеры
- Dependabot открывает pull requests для обновления уязвимых npm-пакетов.
- Запуск Snyk Open Source в CI с падением сборки при критических CVE с доступным фиксом.
Связанные термины
SAST (Static Application Security Testing)
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
DAST (Dynamic Application Security Testing)
Black-box тестирование безопасности работающего приложения по сети для поиска уязвимостей, проявляющихся только в рантайме: инъекций, ошибок аутентификации и неправильных конфигураций.
CVE (Common Vulnerabilities and Exposures)
Публичный каталог, присваивающий уникальный идентификатор каждой раскрытой уязвимости ПО или оборудования для однозначных ссылок в индустрии.
DevSecOps
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
Атака на цепочку поставок
Атака, при которой компрометируется доверенный сторонний поставщик ПО, оборудования или услуг с целью добраться до его конечных клиентов.
Log4Shell (CVE-2021-44228)
Критическая уязвимость удалённого выполнения кода в Apache Log4j 2, раскрытая в декабре 2021 года: для эксплуатации достаточно было залогировать строку JNDI-поиска.