Знакомимся с SATEC
В 2013 году под эгидой Консорциума по Безопасности Веб Приложений (Web Application Security Consortium, сокращенно WASC) была завершена работа над первой версией документа под названием Критерии Оценки Технологий Статического Анализа (Static Analysis Technologies Evaluation Criteria, сокращенно SATEC). Международная группа экспертов из различных сфер индустрии информационной безопасности провела большую работу, результатом которой стал практический набор критериев, который может быть полезен для любой организации перед которой стоит задача оценки и сравнения программных средств и технологий статического анализа и в конечном итоге выбора конкретного продукта. Стоит отметить, что в начале проекта в его названии делался упор на инструменты статического анализа, но в конце концов стало ясно, что статический анализ сегодня – это нечто гораздо большее, чем просто сканирование исходного кода, поэтому было принято решение о замене слова инструменты на более широкий термин технологии.
SATEC позволяет сравнивать все основные аспекты статических технологий анализа: от основных функций и языковой поддержки до развертывания, технической поддержки, отчетности, лицензирования и многое другое. В дополнение к основному документу авторы так же подготовили оценочную таблицу, которая может быть использована для сбора и сравнения результатов оценки нескольких продуктов (ссылка). Специалисты компании “НПО Эшелон” оказали большую помощь при подготовке русской версии SATEC. Позднее “НПО Эшелон” использовало SATEC при разработке статического анализатора кода AppChecker.
С первых дней работы над SATEC я задавал себе вопрос: почему такой проект не был осуществлен ранее? По мере того как работа на проектом продолжалась и мириады мнений, методик и показателей трансформировались в хорошо структурированный и всеобъемлющий документ я пришел к такому выводу: мы все как сообщество специалистов в области информационной безопасности только сейчас готовы к этой дискуссии. Чтобы понять почему, давайте рассмотрим тенденции в области статического анализа в течение нескольких последних лет:
- Несколько достаточно зрелых продуктов превратились из просто анализаторов кода в законченные корпоративные решения с расширенными аналитическими возможностями, которые могут быть легко интегрированы в жизненный цикл ИТ-проектов.
- Появились новые продукты по мере того как как производители приняли во внимание недостатки предложений конкурентов, повысили точность и производительность, а также добавили новые возможности. Например, один из разработчиков предложил в своем решении возможность сканирования кода .NET без необходимости иметь полностью компилируемое приложение.
- Многие производители с энтузиазмом начали предлагать SaaS (Software as a Service — ПО как услуга) как один из вариантов использования их решений. Клиенты больше не ограничены традиционными моделями “автономный клиент” или “клиент-сервер” и теперь получили большую гибкость в планировании и внедрении технологий статического анализа.
Еще одним знаковым событием открывшим путь к появлению SATEC является динамический анализ веб-приложений. Тестирование на проникновение используется в ИТ-индустрии уже более двух десятилетий, и динамический анализ как его составная часть применяется повсеместно. В 2009 году, признавая растущее значение средств динамического анализа в тестировании веб-приложений WASC опубликовал Критерии Оценки Сканеров Безопасности Web-приложений (Web Application Security Scanner Evaluation Criteria, сокращенно WASSEC). SATEC несомненно представляет собой следующий логический шаг в формировании набора руководящих принципов как для производителей, так и для пользователей технологий безопасности программных средств.
Статья была впервые опубликована в блоге компании AsTech Consulting (оригинал).
Во второй «тенденции» (в маркированном списке) в примере — опечатка: » …предложил … возможность сканирования … без необходимости иметь полностью компилируемое приложение предложенная одним из производителей.» Последние три слова кажутся недоудалёнными из финальной редакции текста.
Роман, благодарю за подсказку, исправлено.