23 августа 2022 года компания Positive Technologies провела онлайн-релиз сканера для динамического анализа PT BlackBox. После презентации нового продукта в студию пригласили экспертов. От лица Swordfish Security выступил Алексей Антонов, управляющий партнер компании.
На трансляции эксперт поделился кейсами в данной сфере и мнением о текущей ситуации на рынке, поговорил об особенностях внедрения практик SAST и DAST и других инструментов безопасности. Также Алексей кратко рассказал о решениях ГК Swordfish Security: платформе Стингрей, которая реализует автоматизированный анализ защищенности мобильных приложений, и DevSecOps платформе AppSec.Hub, позволяющей эффективно и в сжатые сроки реализовать процесс безопасной разработки.
Одной из тем обсуждения в рамках трансляции было использование ПО с открытым кодом в динамическом тестировании. Эта тенденция стала быть особенно заметной весной 2022 года после ухода зарубежных поставщиков DAST. У данного подхода немало недостатков: ПО нужно дорабатывать под задачи конкретного продукта, а для этого необходимо иметь в команде узких специалистов, обеспечивать ИБ-библиотеки и принятие рисков, связанных с большим количеством уязвимостей в открытом коде. По данным Swordfish Security, 33% российского ПО на базе Open Source содержат критические уязвимости. Все эти нюансы подталкивают компании переходить на отечественные решения, разработанные российскими вендорами ИБ.
Теперь для динамического тестирования можно использовать, например, новый продукт Positive Technologies. PT BlackBox ищет слабые места методом черного ящика, инструмент распознает уязвимости из списка OWASP Top 10, ошибки RCE, SQLi, file inclusion, OS commanding и другие. Для удобства сканер можно внедрить в процессы непрерывной интеграции и непрерывной доставки. До релиза эксперты Swordfish Security успели протестировать бета-версию PT BlackBox и пришли к выводу, что продукт Positive Technologies является достойной альтернативой решений зарубежных вендоров. В скором времени специалисты нашей компании планируют провести детальный анализ официальной версии.
