Безопасность приложений
Shift-Left Security
Также известно как: Shift left, Раннее тестирование безопасности
Определение
Подход, при котором действия по безопасности перемещаются на более ранние стадии жизненного цикла ПО, чтобы выявлять и исправлять уязвимости до выхода в продакшен.
Примеры
- Добавить pre-commit-хук Semgrep, чтобы разработчики видели находки до push.
- Запускать Checkov по Terraform в CI и блокировать небезопасные облачные конфигурации.
Связанные термины
DevSecOps
Культура и практики, встраивающие ответственность за безопасность в процессы DevOps, чтобы команды непрерывно и быстро выпускали безопасное ПО.
Безопасный жизненный цикл разработки ПО (SSDLC)
Жизненный цикл разработки, в котором деятельности по безопасности встроены в каждую фазу — от требований и проектирования до кодирования, тестирования, релиза и эксплуатации.
SAST (Static Application Security Testing)
Автоматический анализ исходного кода, байт-кода или бинарных файлов без их выполнения для поиска уязвимостей вроде инъекций, небезопасных API или слабой криптографии.
SCA (Software Composition Analysis)
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
Secure Coding
Secure Coding — definition coming soon.