MD
2 2
там ФСТЭК утвердили новую методики моделирования угроз? или еще нет
Size: a a a
2020 July 24
L
ну как бы секьюрити специалисты, в том числе пентестеры, тоже используют фаззинг в той или иной мере...
Кто бы спорил. Но Антон верно сказал, что это инструмент разработчика
AI
Так это как раз ГОСТ который при разработке и потом сертификация, испытания в ИЛ и по идее, там и фаззинг. А уже на объекте сертификат оудN..
AC
Это относится к разработке ПО, т.е. фаззинг тестирование кода на этапе разработки
AI
Я представляю пми с фаззингом. При приемке. ))
AI
Комиссия садится и фаззит ))
AC
Я представляю пми с фаззингом. При приемке. ))
50% ПМИ так и проходят :))))))))))
AS
ну как бы секьюрити специалисты, в том числе пентестеры, тоже используют фаззинг в той или иной мере...
Да это понятно. Ты можешь себе представить службу ИБ безопасности промышленного предприятия которая купит себе такой инструмент и будет им пользоваться? Я нет
Испытательная лаборатория, разработчик, это да
Испытательная лаборатория, разработчик, это да
AC
только фаззингом это не называют
AI
50% ПМИ так и проходят :))))))))))
Ну, это, наверное, лайтовый вариант, всё же?
MD
Это относится к разработке ПО, т.е. фаззинг тестирование кода на этапе разработки
Да, это всё таки относится к этапу разработки, а не к этапу исследования, где то я видел пдфку, где они расписывали методологии исследования ПО, там разные подходы, начиная статикой и заканчивая чем душа пожелает, только вот её найти я не могу что-то
AC
Ну, это, наверное, лайтовый вариант, всё же?
ага
AC
Да, это всё таки относится к этапу разработки, а не к этапу исследования, где то я видел пдфку, где они расписывали методологии исследования ПО, там разные подходы, начиная статикой и заканчивая чем душа пожелает, только вот её найти я не могу что-то
Было что-то, я не спорю
AC
Фаззинг - модная тема :) Да и смо слово красивое :) Правда, написать нормальный фазер, такой чтобы не откровеную дичь куда-то слал -для этого специалист нужен :))
MD
Да, тупые фаззеры редко какой либо результат приносят, а для того, что умный написать - нужно убить кучу времени
AC
Да, тупые фаззеры редко какой либо результат приносят, а для того, что умный написать - нужно убить кучу времени
да, да
AI
В общем, надо регистрироваться, слушать.. ))
AI
На сайте позиционируют как лёгкое тестирование для всех, видимо, упор будут делать - раз лёгкое тестирование, то можно и при приёмке использовать.
ED
Да это понятно. Ты можешь себе представить службу ИБ безопасности промышленного предприятия которая купит себе такой инструмент и будет им пользоваться? Я нет
Испытательная лаборатория, разработчик, это да
Испытательная лаборатория, разработчик, это да
а доках ФСТЭК обязательному условие покупки фаззера? или можно это отдать на аутсорс, как в большинстве лучаев отдают пентесты и прочее?
AS
В общем, надо регистрироваться, слушать.. ))
Кстати Synopsys - один из инструментов используемых для тестов Vulnerability Identification Testing (VIT) и Communication Robustness Testing (CRT) при сертификациях ISASecure на IEC 62443
https://www.isasecure.org/en-US/Test-Tools
https://www.isasecure.org/en-US/Test-Tools