Craap test for evaluating web sources доклад

Обновлено: 05.07.2024

Тест CRAAP является тестом для проверки объективной надежности источников информации по академическим дисциплинам. CRAAP является акронимом для валюты, релевантности, полномочий, точности и цели. Из-за большого количества источников, существующих в Интернете, может быть трудно сказать, являются ли эти источники правдивыми для использования в качестве инструментов для исследований. Тест CRAAP направлен на то, чтобы помочь преподавателям и учащимся определить, могут ли их источники быть истинными. Используя тест при источников, исследователь может уменьшить вероятность использования ненадежной информации. Тест CRAAP, разработанный Сарой Кесли и её командой библиотекарей в Университете штата Калифорния, Чан (Ch);, используется главным образом библиотекарями высшего образования в университетах. Это один из различных подходов к источнику критики.

C: Валюта

R: Релевантность

При рассмотрении источников релевантность информации будет влиять на хорошо округленное исследование. Один вопрос в этой категории, чтобы задать, как тема относится к информации, приведенной в источнике? Более важно, что авторы ссылок должны сосредоточиться на предполагаемой аудитории. Существует множество тем и увеличение доступа к информации. Поэтому актуальность информации помогает аудитории знать, что они ищут. Кроме того, существует проверка того, находятся ли данные на соответствующем уровне понимания, то есть степень не должна быть слишком или продвинутой для потребностей учащихся или преподавателей. Кроме того, они должны решить, чувствуют ли они себя достаточно комфортно, чтобы привести источник.

A: Полномочия

Однако существует не только валюта и релевантность данного источника, но и его полномочия по рассмотрению. Это важно, потому что студенты и преподаватели будут смотреть, кто автор, издатель или спонсор или прежде, чем они смогут доверять информации. Их уровень образования и принадлежность автора важны, потому что это может помочь читателям знать, если автор квалифицирован писать на эту тему. Также должна существовать контактная информация издателя или автора. Полномочия источника помогают учащимся или преподавателям знать, что информация может быть использована и правильно. Полномочия при цитировании источника устанавливают границу доверия между читателем и автором произведений.

A: Точность

Подчеркивая правдивость источников, точность содержания в источнике должна соединяться обратно с происхождением. Доказательства должны подтверждать информацию, представленную аудитории. Доказательства могут включать результаты, наблюдения или заметки на местах. Отчет должен быть пересмотрен или передан на рассмотрение. Он должен быть фиктивным из другого источника или общеизвестным. Тем не менее, язык, используемый в источниках, должен быть непредвзятым или свободным от эмоций, из-за его использования для возвращения фактов. Содержимое в источнике должно быть свободным от орфографических, иар или типографских ошибок.

П: Назначение

Цель источников помогает читателям знать, является ли информация, которую они ищут, правильной для их исследования. Вопросы, которые возникают при поиске цели, варьируются от информирования, обучения, продажи, увлечения, исследования или даже самообнаружения. Следует принимать во внимание некоторые аспекты, будь то факт, мнение или пропаганда, а также политические, личные, религиозные или идеологические различия.

История

Тест был реализован Сарой Кесли (Sarah keslee) весной 2004 года, когда она создавала семинар для первого года обучения. Кесли была раздроблена, что она не могла вспомнить критерии поиска разных источников. После долгих раздумий она придумала акроним. Она хотела дать студентам более простой способ определить, какие источники мерзкие. Одним из других оценочных тестов, которые были проведены до теста CRAAP, является тест SAIL, который означает стандартизированную оценку навыков информационной грамотности. Этот тест был создан в 2002 году группой библиотекарей в Университете штата Кент после просьбы о том, что необходимо провести оценочный тест для студентов, чтобы определить их свободное владение важными источниками. Тест SAILS больше фокусируется на баллах в качестве количественной меры того, насколько хорошо студенты смотрят на свои источники. Хотя испытание SAILS является более конкретным в плане оценки, оно имеет те же цели, что и испытание CRAAP.

Оценка веб-сайта

Один университет начал использовать тест CRAAP, чтобы помочь студентам в оценке онлайн-контента. В статье 2017 года Кара Берг, справочный библиотекарь и сокоординатор обучения пользователей в Университете Уильяма Патерсона, подчеркивает, что оценка веб-сайта является инструментом для активных исследований. В Университете Берга, например, библиотечное отдается 300 различным классам, каждый по разным предметам, которые требуют какого-то типа исследований, требующих от студентов поиска источников. Оценка веб-сайта с использованием теста CRAAP была включена в первый курс семинарии для студентов этого университета, чтобы помочь им оттачивать свои исследовательские навыки.

Проблемы в классном зале

Когда тест CRAAP был впервые реализован в Университете Уильяма Паттерсона, возникли некоторые технические проблемы. Семинар по оценке веб-сайта чувствовал себя торопливым, и в большинстве случаев библиотекари не могли охватить все углы за одну классную сессию. Кроме того, в результате того, что часть оценки веб-сайта была ускорена по причинам времени, успеваемость студентов по оценке, ориентированной на оценку веб-сайта, была плохой. Чтобы решить эти проблемы, они разработали метод " ", в котором студенты смотрели видео, которое освещало две из трех секций семинара в свое время, причем в классе ограничились оценкой веб-сайта, но занимали весь период занятий. Успеваемость студентов по оценке их знаний о CRAAP для оценки веб-сайта повысилась после изменения на .

Педальные виды использования

Тест CRAAP обычно используется в библиотечных как часть первого курса семинарии для студентов. Студенты были обязаны участвовать в этом классе в рамках требования в Университете Уильяма Патерсона. Помимо использования метода CRAAP в курсах английского языка, этот метод используется и во многих других курсах, таких как научные и инженерные занятия. Тест применяется так же, как и оценка веб-сайта, и используется повсеместно во всех курсах. Примеры университетов, которые используют тест CRAAP, включают Центральный университет, Бенедиктинский университет, Общественный колледж округа Балтимор, среди многих примеров. Есть и другие школы, которые используют тест как способ для учащихся хорошо работать со своими категориями в предметах, которые требуют исследовательских документов.

Альтернативные варианты и критика

В 2004 году в статье Марка Меолы "Chu the Checklist" ("Chu the Checklist"); был подход к информации, и библиотекари и педагоги изучили альтернативные подходы.

Майк Колфилд, который проверил некоторые виды использования теста CRAAP в информационной литературе, подчеркнул альтернативный подход, используя пошаговую эвристику, которую можно суммировать с помощью акронима SIFT: "Stop; Investigate the source; Find figure coverage; Trace claims, quots и media to the original context".

В статье от декабря 2019 года Хифер А. Филдинг поднял вопрос о том, что метод CRAAP фокусируется на "глубоком погружении" в веб-сайта, но отметил, что "в последние годы диссеминация неправильной и дезинформации в Интернете стала все более софистизированной и proli, так что анализ к содержанию одного веб-сайта без понимания того, как сайт связан с более широким охватом, теперь имеет потенциал, чтобы облегчить принятие информации" скрытый ".


Любой поиск уязвимостей начинается с разведки и сбора информации. Разведка может быть активной: перебор файлов и директорий сайта, использование сканеров уязвимостей, ручной анализ приложения; или пассивной: с использованием различных поисковых систем и интернет-сервисов. В этой статье мы рассмотрим инструменты Kali Linux, а также онлайн-ресурсы, которые можно использовать для анализа защищенности веб-приложений.

Информация предоставлена исключительно в ознакомительных целях. Не нарушайте законодательство!

Пассивная разведка

Для пассивного сбора информации характерно то, что этапы его проведения невозможно обнаружить, так как фактически нельзя определить, с какого узла производится сбор информации. При пассивном сборе используются службы Whois, анализ DNS, исследование публичных интернет-ресурсов, поисковые системы и интернет-сервисы, социальные сети и многое другое.

2IP или аналоги

Различные онлайн-сервисы, предоставляющий информацию об операционной системе, браузере, месте расположения и интернет-провайдере, а также непосредственно об IP-адресе. Сервис предоставляет доступ к инструментам, которые могут оказаться хорошим подспорьем при проведении тестирования на проникновение. На 2IP можно узнать IP-адрес объекта по доменному имени, проверить DNS записи домена, определить используемую CMS, наличие сайта в веб-архивах и т.д.


Shodan

Это поисковая система, разработанная веб-девелопером Джоном Мазерли и ориентированная, прежде всего, на поиск устройств, подключённых к интернету. Shodan предоставляет информацию об устройствах (маршрутизаторах, коммутаторах, настольных компьютерах, серверах и т.д.) и сервисах. Поисковая система опрашивает порты, захватывает полученные баннеры и индексирует их, чтобы найти необходимую информацию. Ценность Shodan, как инструмента тестирования на проникновение, заключается в том, что он предоставляет ряд удобных фильтров:


HackerTarget

Сервис позволяет произвести сканирование на наличие уязвимостей на основе инструментов с открытым исходным кодом. HackerTarget может осуществлять 12 различных типов сканирования (сканирование внешних портов, сканирование уязвимостей с помощью OpenVAS, сбор информации о домене, тесты безопасности WordPress, Joomla и Drupal), доступных для сканирования Free.Perform. Информация, собранная при помощи HackerTarget, может быть использована для расширения зоны атаки при выявлении уязвимостей на сервере.





На HackerTarget есть платные пакеты, которые расширяют возможности сервиса. После оплаты предоставляются следующие инструменты:

  • Nmap — сканирование любого IP-адреса, лимит сканирования до 2048 адресов в день, сканирование портов без ограничений, запуск сканирования по расписанию.
  • OpenVas — Сканирование с помощью инструмента до 512 IP-адресов и составление отчётов в PDF, HTML, XML. Для тарифа PRO+ доступно сканирование по расписанию.
  • Доступ к сканеру уязвимостей веб-серверов Nikto, тестированию с помощью SQLmap, расширенный инструментарий для WhatWeb/Wappalyzer, сканирование CMS WordPress, Joomla, Drupal, а также тестирование SSL/TLS.

Google dorks

Операторы расширенного поиска Google используются, как правило, вместе с другими инструментами тестирования на проникновение для сбора анонимной информации, сопоставления сетей, а также сканирования и перечисления портов. Google dorks может предоставить пентестеру широкий спектр конфиденциальной информации, такой как страницы входа администратора, имена пользователей и пароли, конфиденциальные документы, военные или правительственные данные, корпоративные списки рассылки, данные банковских счетов и многое другое. Использование Google dorks позволяет фильтровать информацию примеру по типу уязвимости, по типу CMS, ошибкам, на которые не все обращают внимание. Среди всех операторов расширенного поиска Google наиболее интересны следующие:

  • site — поиск осуществляется по конкретному сайту;
  • inurl — указатель на то, что искомые слова должны быть частью самого веб-адреса;
  • intitle — оператор поиска в заголовке веб-страниц;
  • ext или filetype — поиск файлов определённого типа по расширению.

Также при составлении запроса не стоит забывать про операторы, которые задаются спецсимволами:

theHarvester

theHarvester — это инструмент для сбора e-mail адресов, имён поддоменов, виртуальных хостов, открытых портов/банеров и имён работников из различных открытых источников (поисковые системы, сервера ключей pgp). Это простой, но эффективный на ранних этапах тестирования на проникновение инструмент позволяет узнать, какую информацию могут собрать о компании через интернет.

Инструмент использует следующие источники:

  • Перебор DNS: этот плагин запустит перебор по словарю;
  • Обратное преобразование DNS: обратное преобразование обнаруженных IP-адресов для поиска имён хостов;
  • DNS TDL расширение: перечисление по словарю TLD;

Модули, для работы которых требуются API ключи:

  • googleCSE: нужно создать Google Custom Search engine(CSE) и добавить ваш Google API ключ и CSE ID в плагин (discovery/googleCSE.py);
  • shodan: нужно ввести ваш API ключ в discovery/shodansearch.py.


Ключи:
-b — позволяет указать источники в которых он будет искать. Возможные источники поиска:google, googleCSE, bing, bingapi, pgp, linkedin, google-profiles, people123, jigsaw, twitter, googleplus или все сразу — all;
-v — проверить хост в DNS и искать виртуальные сервера имеющие тот же адрес;
-f — записать результаты в HTML и XML файлы;
-n — сделать рекурсивные запросы к всем найденным диапазоном адресов;
-c — провести брутфорс доменных имен по словарю;
-e — использовать указанный DNS сервер;
-h — проверить найденные хосты через SHODAN.
Так же можно ограничить или расширить глубину поиска:
-l — глубина поиска (по умолчанию 100);
-s — пропустить первые n запросов.

Активная разведка

Nmap (Network Mapper) — это утилита с открытым исходным кодом для исследования сети и проверки безопасности. Зачастую используется для инвентаризации сети, управления расписанием служб обновлений и мониторинга аптайма хостов или служб. Nmap был создан для быстрого сканирования больших сетей, но также хорошо работает и в отношении единичных хостов. Nmap запускается на всех популярных операционных системах, а официальные исполнимые пакеты доступны для Linux, Windows и Mac OS X. Достоинствами Nmap можно назвать:

  • Гибкость. Nmap поддерживает множество техник для составления карты сети, заполненной IP-фильтрами, межсетевыми экранами, роутерами и другими преградами, а также различные механизмы сканирования портов (TCP и UDP), определение операционных систем, определение версий и др.
  • Мощность. Изначально Nmap использовалась для сканирования больших сетей, состоящих из сотен машин.
  • Кроссплатформенность. Поддерживаются большинство операционных систем, включая Linux, Microsoft Windows, FreeBSD, OpenBSD, Solaris, IRIX, Mac OS X, HP-UX, NetBSD, Sun OS, Amiga и другие.
  • Простота в использовании. Nmap включает в себя широкий набор функций различной степени сложности, он может быть полезен и для опытных пентестеров, и для новичков. Доступны как традиционная версия командной строки, так и графическая версия (GUI).
  • Nmap — бесплатный инструмент. Утилита доступна для свободной загрузки и поставляется с полным исходным кодом, который можно изменить и распространять его на основе лицензии.
  • Для Nmap разработана подробная документация.
  • Поддержка Nmap осуществляется сообществом разработчиков и пользователей.


При работе с утилитой можно использовать следующие ключи:
-sU — UDP-сканирование;
-O — определение версии операционной системы, основывается на TTL;
-Pn — позволяет рассматривать все хосты, как если бы они были онлайн;
-sC: — запуск стандартного набора скриптов, эквивалентно опции --script=default .

DMitry

Эта утилита командой строки для UNIX/(GNU)Linux, написанная на языке C. Приложение позволяет собрать максимально возможное количество информации о хосте. В базовую функциональность входит сбор информации о поддоменах, адресах электронной почты, сканировании портов TCP, поиск Whois и другое.

Среди особенностей Dmitry можно выделить следующие:

  • Проект с открытым исходным кодом;
  • Выполняет ряд поисков Whois;
  • Выполняет поиск поддоменов для целевого хоста;
  • Выполняет поиск адресов электронной почты для целевого хоста;
  • Выполняет сканирование портов TCP на целевом хосте;
  • Модульное построение программы позволяет настраивать набор используемых модулей.


Sparta

Инструмент, предназначенный для автоматизации проведения активной разведки. Инструмент имеет GUI интерфейс, что позволяет на интуитивном уровне разобраться с работой программы.

После указания хоста для тестирования, инструмент запустит последовательно несколько сценариев сбора информации, начиная от сканирования портов с помощью Nmap и заканчивая проверкой сканером уязвимостей веб-серверов Nikto, а также созданием скриншотов веб-страниц. При необходимости найденные сервисы можно передать во встроенный механизм брутфорса для подбора пароля к учётным записям пользователей.


WhatWeb

WPScan


Функционал инструмента позволяет устанавливать пользовательский user-agent или использовать функцию --random-user-agent для попытки обхода средств защиты. Для более глубокого изучения целевой CMS можно использовать ключ --enumiration с аргументами для запуска определения версии, главной темы оформления сайта, перечисления установленных плагинов и перечисления пользователей методом перебора.

Функция --plugins-detection aggressive является более агрессивной и требует больше времени.


Nikto

Сканер уязвимостей веб-серверов Nikto предназначен для поиска различных дефолтных и небезопасных файлов, конфигураций и программ на веб-серверах любого типа. Сканер исследует веб-сервер для поиска потенциальных проблем и уязвимостей безопасности, включая:

  • Неверные настройки сервера и программного обеспечения;
  • Дефолтные файлы и программы;
  • Небезопасные файлы и программы;
  • Устаревшие службы и программы.


О Pentestit

На этом базовую разведку и сбор информации можно завершить и перейти к следующему этапу проведения тестирования на проникновение. На основе собранной информации выстраиваются векторы для проведения последующих атак.

Разработка безопасных приложений. Часть 1. Обзор рынка SAST 2021

Мы начинаем цикл статей, посвящённый безопасной разработке приложений — DevSecOps. Эта концепция подразумевает противодействие угрозам на всех этапах создания программного продукта. Процесс DevSecOps невозможен без обеспечения безопасности исходного кода, поэтому в первой части мы расскажем о рынке средств статического тестирования защищённости приложений (Static Application Security Testing, SAST).

  1. 5.1. AppChecker
  2. 5.2. PT Application Inspector
  3. 5.3. PVS-Studio
  4. 5.4. SafeERP Code Security
  5. 5.5. Solar appScreener
  1. 6.1. Checkmarx CxSAST
  2. 6.2. Fortify Static Code Analyzer (SCA)
  3. 6.3. HCL Security AppScan Source

Введение

Рисунок 1. Процессы DevSecOps по версии Gartner

Процессы DevSecOps по версии Gartner

Ранее мы провели несколько онлайн-конференций AM Live и обсудили некоторые аспекты методологии DevSecOps. Не так давно ведущие эксперты рынка рассказали зрителям об основах безопасной разработки, а встреча прошедшая в конце марта была посвящена обеспечению безопасности исходного кода.

Последнее немаловажно: 90 % инцидентов в безопасности возникают в результате использования злоумышленниками известных программных ошибок. Устранение уязвимостей на этапе разработки приложений значительно снижает риски в информационной безопасности. Для поиска уязвимостей в создаваемых приложениях существуют отдельные классы инструментов, рынки которых сейчас активно развиваются.

Все эти системы позволяют комплексно подойти к оценке безопасности приложений, но на начальном этапе, как правило, всё же используется статический анализ кода (SAST). На нём мы и сфокусируем сегодня наше внимание, а об остальных инструментах автоматизации процессов безопасной разработки расскажем в следующих обзорах, посвящённых DevSecOps.

Что такое SAST

SAST (Static Application Security Testing) — это анализ кода или его части на наличие уязвимостей без запуска исследуемого приложения на исполнение. Он также обеспечивает соответствие руководствам и стандартам без фактического выполнения базового кода. SAST был одним из первых вспомогательных инструментов для оценки уязвимости приложений.

Одной из ключевых сильных сторон SAST является широкий охват языков программирования и платформ разработки. Для практически любого основного языка найдётся несколько вендоров, предлагающих инструменты по статическому анализу кода. Ещё одним плюсом является то, что SAST легко внедряется — весьма просто добавить статический сканер в конвейер разработки или в IDE.

Наконец, разработчики извлекают выгоду из того, что анализ выполняется с точки зрения статического исходного кода: это включает в себя обратную связь о точном местоположении потенциальной проблемы.

Основным недостатком SAST является большое число ложноположительных или ложноотрицательных результатов. Согласно публичным данным OWASP инструменты статического анализа дают до 50 % ложных срабатываний. В итоге возникают огромные затраты времени, так как разработчики должны сортировать и проверять вручную каждый потенциально уязвимый фрагмент.

К SAST предъявляются следующие требования:

  • Наличие качественных технологий и алгоритмов для глубокого анализа кода и выявления уязвимостей.
  • Регулярно обновляемая база правил с возможностями гибкой настройки и расширения.
  • SAST должен предоставлять в виде отчётов исчерпывающие обоснования наличия уязвимости и давать подробные рекомендации по устранению последней.
  • SAST должен сопоставлять результаты анализа при повторном сканировании отредактированного кода (выделение исправленных, неисправленных, вновь появившихся уязвимостей).
  • SAST должен поддерживать большое число языков программирования.
  • SAST должен интегрироваться со средами разработки, системами контроля версий и отслеживания ошибок.
  • Обеспечение связи между разработчиками и экспертами отвечающими за безопасность.
  • Минимальное количество ложных срабатываний.
  • Представление результатов анализа в удобном для восприятия виде.
  • Наличие средств автоматического составления отчётов.
  • Возможность проводить анализ кода удалённо.

Тот SAST, который полностью соответствует изложенным требованиям, будет выявлять проблемы в коде более точно и позволит затрачивать меньше ресурсов на локализацию и устранение уязвимостей.

SAST лучше всего подходит для поиска ошибок в строках кода, однако не очень эффективен при обнаружении недостатков потока данных.

Мировой рынок SAST

Рисунок 2. Динамика глобального рынка DevSecOps по версии MarketsandMarkets

Динамика глобального рынка DevSecOps по версии MarketsandMarkets

По прогнозам Grand View Research рынок средств защиты приложений достигнет 10,7 млрд долларов США к 2025 году, увеличиваясь в среднем на 17,7 % за год. При этом в рамках средств анализа кода SAST и DAST занимают одинаковые позиции по продажам в масштабах мирового рынка.

Рисунок 3. Распределение типов анализаторов по долям продаж в масштабах мирового рынка по данным Grand View Research

Распределение типов анализаторов по долям продаж в масштабах мирового рынка по данным Grand View Research

С точки зрения исполнения продукты могут быть установлены непосредственно у заказчика (on-premise) или быть облачными (software-as-a-service).

На мировом рынке представлено множество различных анализаторов — как от известных вендоров в области безопасности, так и от нишевых игроков, занимающихся только разработкой SAST.

Рисунок 4. Квадрант Gartner для тестирования безопасности приложений

Квадрант Gartner для тестирования безопасности приложений

  • CAST;
  • Checkmarx;
  • Contrast Security;
  • GitLab;
  • HCL Software;
  • Micro Focus;
  • Onapsis;
  • Rapid7;
  • Synopsys;
  • Veracode;
  • WhiteHat Security.

Российский рынок SAST

В России рыночный сегмент SAST на данный момент хорошо развит. На российском рынке присутствуют как отечественные вендоры, так и зарубежные.

Среди российских участников рынка можно выделить:

Среди зарубежных игроков можно отметить:

К сожалению, мы не располагаем полными сведениями об объёмах продаж и долях рынка этих компаний, поэтому не сможем в рамках данной статьи представить их ранжирование.

Краткий обзор продуктов, популярных на российском и мировом рынках, приведён ниже.

Обзор популярных российских продуктов класса SAST

AppChecker

AppChecker осуществляет поиск дефектов с помощью постоянно обновляемой базы сигнатур, а также ищет программные закладки. AppChecker интегрируется с системами управления версиями ПО — git, Subversion.

Рисунок 5. Интерфейс AppChecker

Интерфейс AppChecker

Среди ключевых особенностей продукта можно выделить следующие:

Подробнее с продуктом можно ознакомиться здесь.

PT Application Inspector

PT Application Inspector позволяет выявлять уязвимости и признаки недекларированных возможностей. Он анализирует исходный код или готовое приложение, комбинируя статические, динамические и интерактивные методы (SAST, DAST и IAST). По итогам анализа PT Application Inspector не только выдаёт данные о номере строки и типе уязвимости, но и генерирует эксплойты — безопасные, но эффективные тестовые запросы, которые помогают подтвердить или опровергнуть наличие уязвимости.

Рисунок 6. Интерфейс PT Application Inspector

Интерфейс PT Application Inspector

Среди ключевых особенностей продукта можно выделить следующие:

  • Поддержка анализа веб-приложений и большого набора систем разработки для бизнес-приложений.
  • Отечественный, локализованный продукт.
  • Широкий набор поддерживаемых государственных стандартов.
  • Использование базы уязвимостей веб-приложений WASC и классификатора CWE.
  • Возможность визуализации программного кода и поиска программных закладок.
  • Автоматическая выгрузка результатов анализа в межсетевой экран уровня веб-приложений PT Application Firewall, который применяет правила для блокировки атак на уязвимое приложение на время исправления кода.
  • Наличие сертификата ФСТЭК России.

Подробнее с продуктом можно ознакомиться здесь.

PVS-Studio

Рисунок 7. Интерфейс PVS-Studio

Интерфейс PVS-Studio

Среди ключевых особенностей продукта можно выделить следующие:

  • Кросс-платформенный анализатор обеспечивает полное покрытие кода.
  • Отчёты доступны в форматах HTML, XML, CSV, TXT, JSON, CompileError, TaskList, TeamCity.
  • Поддержка большого числа языков программирования и компиляторов: Visual Studio, C, C++, C++/CLI, C++/CX (WinRT), MinGW, IAR Embedded Workbench, GNU Arm Embedded Toolchain, Arm Embedded, GCC compiler, Qt Creator, Eclipse, GCC, Clang, IntelliJ IDEA, Android Studio, Java и др.
  • Соответствие диагностик PVS-Studio различным стандартам (OWASP Top 10 Web Application Security Risks, AUTOSAR C++ 14 Coding Guidelines, CWE, OWASP Application Security Verification Standard).

Подробнее с продуктом можно ознакомиться здесь.

SafeERP Code Security

Программный модуль Code Security в составе платформы SafeERP предназначен для выявления небезопасного состояния программного кода ABAP в информационных системах на платформе SAP NetWeaver. Мы уже писали о том, как обеспечить безопасность ERP-систем SAP на примере решения SafeERP Suite.

SafeERP Code Security позволяет осуществлять анализ ABAP-кода непосредственно в процессах жизненного цикла программного обеспечения (выявление небезопасного состояния программного кода на этапах его разработки, квалификационное тестирование, инсталляция, эксплуатация, перенос по ландшафту системы).

Продукт содержит базу знаний и рекомендаций для разработчика, позволяет проводить итерационное сканирование кода непосредственно в процессе разработки внутри SAP-системы. Включён в реестр отечественного ПО и имеет сертификат ФСТЭК России как средство контроля защищенности.

Рисунок 8. Интерфейс SafeERP

Интерфейс SafeERP

Среди ключевых особенностей продукта можно выделить следующие:

  • Простая интеграция в SAP-инфраструктуру в виде дополнения (аддона).
  • Агенты для SAP NW, SAP Java, SAP HANA.
  • Большое количество актуальных проверок.
  • Доступ ко всему репозиторию системы SAP и, как следствие, возможность проверки вложенности программных пакетов.
  • Возможность встраивания в транспортную систему ландшафта SAP.
  • Настройка и работа со всем SAP-ландшафтом из единой консоли управления.
  • Регулярные обновления в соответствии с выпуском SAP Note.
  • Удобный русскоязычный интерфейс и рекомендации по недостаткам.

Подробнее с продуктом можно ознакомиться здесь.

Solar appScreener

Solar appScreener (до версии 3.0 — Solar inCode) — инструмент статического анализа кода, предназначенный для выявления уязвимостей и недекларированных возможностей в коде приложений. Solar appScreener работает полностью автоматически. Можно выделить два типа статического анализа, который выполняет этот продукт: анализ исходного кода программы и анализ её исполняемых файлов.

Когда исходный код недоступен, можно загрузить в Solar appScreener рабочие файлы мобильного или веб-приложения. Для мобильных приложений достаточно просто скопировать в сканер ссылку на страницу в Google Play или App Store. Приложение будет автоматически скачано и проверено.

Рисунок 9. Интерфейс Solar appScreener

Интерфейс Solar appScreener

Среди ключевых особенностей продукта можно выделить следующие:

Подробнее с продуктом можно ознакомиться здесь.

Обзор популярных зарубежных продуктов класса SAST

Checkmarx CxSAST

Checkmarx CxSAST позволяет в автоматическом режиме обнаруживать и идентифицировать уязвимости в нескомпилированном коде на наиболее распространённых языках программирования. CxSAST может быть установлен самостоятельно или интегрирован в цикл разработки (SDLC) для сокращения времени на обнаружение и устранение уязвимостей.

Рисунок 10. Интерфейс Checkmarx CxSAST

Интерфейс Checkmarx CxSAST

Среди ключевых особенностей продукта можно выделить следующие:

Подробнее с продуктом можно ознакомиться здесь.

Fortify Static Code Analyzer (SCA)

Продукт, поддержка которого в настоящий момент обеспечивается компанией Micro Focus, за свою долгую историю неоднократно менял владельца. Вместе с тем он вырос в мощный инструмент для анализа исходного кода.

Fortify Static Code Analyzer является модулем статического тестирования безопасности приложений в составе более крупного решения Fortify. Он определяет причины уязвимостей, приоритизирует результаты и даёт подробные рекомендации по исправлению кода.

Рисунок 11. Интерфейс Fortify Static Code Analyzer

Интерфейс Fortify Static Code Analyzer

Среди ключевых особенностей продукта можно выделить следующие:

Подробнее с продуктом можно ознакомиться здесь.

HCL Security AppScan Source

HCL Security AppScan Source (ранее IBM Security AppScan) предназначен для специалистов по информационной безопасности, требует высокой квалификации, зато формирует более полную картину уязвимостей с привязкой к исходному коду. Продукт обеспечивает взаимодействие между сотрудниками ответственными за безопасность приложений и разработчиками. Обладает средствами интеграции с распространёнными средами разработки, что позволяет отслеживать уязвимости на ранних стадиях. Статический анализ поддерживает 21 язык программирования.

Рисунок 12. Интерфейс HCL Security AppScan Source

Интерфейс HCL Security AppScan Source

Среди ключевых особенностей продукта можно выделить следующие:

Подробнее с продуктом можно ознакомиться здесь.

Выводы

Наличие ошибок, уязвимостей и закладок в разрабатываемом приложении несёт в себе серьёзные риски для информационной безопасности. Использование SAST позволяет существенно снизить эти риски и контролировать качество разработки без привлечения внешних экспертов. SAST является практичным инструментом для разработчиков, который удобно встраивается в процессы DevSecOps.

На мировом рынке представлено множество различных анализаторов — как от известных вендоров в области безопасности, так и от нишевых игроков, занимающихся только разработкой SAST.

Гениальные идеи основываются на рискованных предположениях

По-сути, предприниматель [👋] представляет прекрасное будущее, в котором этот календарь уже случился, клиенты экономят 5+ часов в месяц и счастливые платят $30/month. Опыт и статистика говорят, что если предприниматель найдёт инвестиции и не проверяя никакие гипотезы, пойдёт радостно пилить этот продукт, он провалится с вероятностью ~90%.

Проблема в том, что когда предпринимателю пришла в голову гениальная идея, он видит путь относительно простым и понятным:


Гениальная идея есть, осталось привлечь инвестиции, собрать команду и начать херачить!

По-факту, предприниматель исходит из большого количества рискованных предположений, каждое из которых, если не подтвердится, может убить зарождающийся бизнес.


Рискованные предположения—это позитивные предположения, из которых мы исходим, мечтая, что в будущем наш продукт станет успешным. При этом, мы очень часто не видим, что мы по-факту исходим из этих рискованных предположений, создавая что-то новое, и, как следствие, ничего не делаем чтобы проверить эти риски. И платим за это отсутствием продаж и низкой активацией в фичу.

Как применять Riskiest Assumption Test

Riskiest Assumption Test—это инструмент выделения и проверки этих рискованных предположений. Он состоит из всего трёх шагов:

  1. Выписать все рискованные предположения для будущего продукта и бизнеса, которые мы видим на текущий момент
  2. Отранжировать от наиболее рискованных до наименее рискованных
  3. Пойти проверять топ рискованных предположений

После того, как проверено рискованное предположение, и, если нам повезло, оно подтвердилось, мы проходим по этому упражнению заново. Проверка одного рискованного предположения может дать вводные о новых рискованных предположениях и/или поменять веса рисков.


Результат регулярного выделения рискованных предположений и их проверки—заранее увидеть смертельные сценарии развития будущего бизнеса и или не допустить их, или убедиться, что с текущими предположениями бизнес не построить и что-то из исходных предположений нужно менять.

Выделение рискованных предположений позволяет быстрее находить проблемы в исходных предположениях про сегменты, продукт, бизнес-модель. Именно эти изменения и называются пивотами :)

То есть цель выделения рискованных предположений—быстрее пивотиться в более оптимальные сегменты, продукты и бизнес-модели.

Типичные рискованные предположения при создании продукта с нуля

Когда вы создаёте продукт с нуля, кроме домено- и проектно-специфичных рискованных предположений про конкретные технологиии, конкретные аспекты продукта, у вас наверняка встретятся большая часть из этих типичных рискованных предположений. Они уже отранжированы в порядке уменьшения вероятности убить ваш бизнес.

  1. Рискованные предположения про рынок, тренды и регуляцию
    • Рыночные тренды восходящие
    • Рынок достаточно большой для планируемого ROI на нашем горизонте планирования возврата инвестиций
    • Нет законов и регуляторов, которые не позволят сделать планируемый продукт
  2. Рискованные предположения про клиентские сегменты
    • Есть достаточно большой платёжеспособный сегмент
    • У этого сегмента есть важная [=тратят $$, время, нервы] для них Job Story
  3. Рискованные предположения про продукт
    • У нас есть доступ к людям и знаниям, которые помогут создать такой продукт
    • Наша гипотеза продукта решает Job Story выбранного сегмента
  4. Рискованные предположения про юнит-экономику
    • В выбранной бизнес-модели у нас сойдётся пессимистичная юнит-экономика
  5. При масштабировании привлечения, ROI будет сохраняться

Немного истории и моё отношение к RAT

В 2016 году я прочитал статью The MVP is dead. Long live the RAT, в которой автор и рассказал про фреймворк Riskiest Assumption Test. И я понял, что RAT—именно тот инструмент, которого мне так не хватало в книге Lean Startup.

Я использую два фреймворка при создании новых продуктов и, частично, развитии существующих продуктов: Riskiest Assumption Test и Jobs To Be Done. На мой взгляд, два этих фреймворка в паре решают все потребности команды и продакт-менеджера для того, чтобы принимать оптимальные решения при создании нового продукта.

Всегда, когда я начинаю делать что-то новое, я начинаю с выписывания списка рискованных предположений и методично проверяю одно за другим.

JTBD—невероятно важный фреймворк создания продуктов, который помогает принимать подавляющее большинство решений о том, как и .

Читайте также: