S
когда у тебя 500 мегабайт кода, как все перелопатить?
Разницы нет
Size: a a a
2018 June 08
S
это и есть те самые rules pack которые зашивают в сканеры
Об этом и речь
S
Софт не нужен, который является обвесом над поиском
t
например у HP FF данные рулпаки зашифрованы, у IBM AppScan можно вытащить эти правила
S
Для всяких извращённых фреймворков?
Всё код. А раз код - значит можно парсить
t
Не забывайте про DAST, он не просто регуляркой ищет…
t
от точки входа до точки выхода
S
например у HP FF данные рулпаки зашифрованы, у IBM AppScan можно вытащить эти правила
Да, чтобы усадить алёшку: "на, резвись, сканируй"
S
И если для вас код в 500 метров много... Ну бле, я хз
S
Вместо того чтобы что-то сделать самому надо мудрёные тулзы придумать
S
Про динамику я не говорю, другая специфика
t
Вместо того чтобы что-то сделать самому надо мудрёные тулзы придумать
Не все так просто, тоже так думал, пока не поработал с ребятами кто проектирует алгоритмы для сканеров…
GD
Sast же и должен не просто найти функцию опасную, но флоу построить
OG
Slava trollit, вы че
S
Да где я тролю, я этим же и работаю
AN
2й доклад начался
S
И да, извините если кого задел, просто больная тема :)
t
А он хорош? Там разве есть sast?
у AppScan soure большой false-positive, но если упираться сколько он поддерживает языков и как строит флоу, то он на голову выше всех сканеров взятых! Все зависит от языка и цели. Самое сложное разобраться с fp после сканов…
BD
Слава, хорош!! КРАСАВЧИК. Скидов разнес!
S
у AppScan soure большой false-positive, но если упираться сколько он поддерживает языков и как строит флоу, то он на голову выше всех сканеров взятых! Все зависит от языка и цели. Самое сложное разобраться с fp после сканов…
Попробуй sci tools understand