26.07.2022  Экспертиза, Безопасность, Менеджмент

Организации начали наращивать объемы тестирования безопасности ПО. Портал ITPro Today рассказывает о типах инструментов, представленных на рынке, и о том, как выбрать правильный инструмент. Атаки на цепочки поставок, инъекционные атаки, атаки с подделкой запросов на стороне сервера (SSRF) — все эти и другие угрозы используют уязвимости ПО. Уязвимости могут варьироваться от неправильной конфигурации до ошибочного дизайна и нарушения целостности. По данным Forrester Research, наиболее распространенным вектором атак являются приложения, причем 35% атак используют те или иные уязвимости ПО. За последние несколько лет внимание к безопасности ПО, а также распространение инструментов ее тестирования возросло, отчасти благодаря атакам на цепочки поставок, таким как Stuxnet и SolarWinds. А поскольку организации расширяют свое присутствие в Интернете, риск становится больше, чем когда-либо. Наконец, переход к DevSecOps побуждает все больше организаций включать тестирование безопасности на этапе разработки ПО. Сдерживание атак на ПО требует увеличения усилий по тестированию — и не только в конце разработки. Для тех, кто разрабатывает ПО собственными силами, тестирование должно проводиться на ранних этапах и часто. Это поможет сократить задержки и дополнительные расходы, которые возникают, когда ПО приходится переписывать в конце производственного цикла. В случае с ПО, разработанным на стороне, наиболее разумным подходом является тестирование с помощью нескольких методов, прежде чем ... читать далее.