Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь
( Read more... )
Вот движение к скорее вижу, но на полке пока пустовато.
В основном универсальные решения не очень умеют в веб-уязвимости, например. и анализ рисков говно, вообще говно, требует изначального уровня зрелости организации и не дает возможности быстрого бутстрапа проекта. По итогу это немассовые продукты, это продукты для все тех же богатых буратин.
А там достаточно кучки тупеньких эвристик, чтобы покрыть 80% потребностей. И я знаю, как их нарисовать.
Вопрос, стоит ли морочиться или дырка зарастет сама собой.
Ну так это продается по подписке continuously improving continuous vulnerability management. Правила написаны чем то на подобие XML языка, понятно. У многих есть и OEM-вариант. Пихаешь уже сегодня какой-нибудь COTS на 100 Гбит/сек и как всегда после 3-4 iterations of VP-level escalation и on-site развеселой кампании пускачей- интеграторов интернационального состава: индус, китаец и какой нибудь восточноевропеец нечто минимально удобоваримое на столе.
Потому что если это qualys, tenable или rapid7, то они пока ниасилили.
Ну то есть с интеграторами и еблей да, но я повторюсь, это не для людей, это для top 5% компаний, на которые весь инфобез и работает, остальным жмых и шняга.
И они все тоже не очень умеют в веб-уязвимости, потому что в них умеет другой набор вендоров с более узкой специализацией. Когда они это прочухают, просто купят себе кого-нибудь из них.
Ну то есть они сделали серьезные шаги в сторону удешевления, но вот в сторону быстрого запуска в компании с невысоким уровнем зрелости инфобеза -- нет.
Да я честно говоря не вижу, что тут патентовать, методология настолько лежит на поверхности, что непонятно, почему это не делает каждая собака за три копейки.
Reply
В основном универсальные решения не очень умеют в веб-уязвимости, например. и анализ рисков говно, вообще говно, требует изначального уровня зрелости организации и не дает возможности быстрого бутстрапа проекта. По итогу это немассовые продукты, это продукты для все тех же богатых буратин.
А там достаточно кучки тупеньких эвристик, чтобы покрыть 80% потребностей. И я знаю, как их нарисовать.
Вопрос, стоит ли морочиться или дырка зарастет сама собой.
Reply
Reply
Потому что если это qualys, tenable или rapid7, то они пока ниасилили.
Ну то есть с интеграторами и еблей да, но я повторюсь, это не для людей, это для top 5% компаний, на которые весь инфобез и работает, остальным жмых и шняга.
И они все тоже не очень умеют в веб-уязвимости, потому что в них умеет другой набор вендоров с более узкой специализацией. Когда они это прочухают, просто купят себе кого-нибудь из них.
Ну то есть они сделали серьезные шаги в сторону удешевления, но вот в сторону быстрого запуска в компании с невысоким уровнем зрелости инфобеза -- нет.
Reply
Reply
Впрочем, ты смотришь со стороны телекомов, это совсем, совсем другая специфика.
Reply
Reply
Reply
Reply
Reply
Reply
Reply
Reply
Но у них опять-таки сравнительно дорогой (по телекомовским меркам дешевый, но для большинства "обычного бизнеса" дорогой) продукт.
brinqa
Reply
Reply
Reply
Leave a comment