MM
Konstantin
у меня давно есть хорошая идея, как ML к SAST прикрутить, но там дохера работы. инвесторы есть? :-)
Не дохера
Size: a a a
2020 January 18
MM
В позитиве делали подобное
MM
И да, меньше расходов на аналитиков
MM
И меньше фолзов
MM
Код мл скинуть?)
MM
MM
Модельку я подскажу, вопрос в датасете
MM
Нужна база из 100к+ свалидированных уязвимостей с описанными свойствами в стиле токенизированной точки входа и выхода, трейса между ними и характере функций. Имеются ли в трейсе функции приведения типов и тд
MM
Самое больное это продать потом такой саст.
ТК сам по себе механизм валидации састового репорта интересен в первую очередь безопаснику. Да, меньше денег на 1 человека. Но он 1. Т.е любые фичи данного продукта, которые направлены на сокращение костов на анализ будут стоить не больше, чем человек или 2.
ТК сам по себе механизм валидации састового репорта интересен в первую очередь безопаснику. Да, меньше денег на 1 человека. Но он 1. Т.е любые фичи данного продукта, которые направлены на сокращение костов на анализ будут стоить не больше, чем человек или 2.
MM
А сам саст это тот ещё слоняра. Чтобы написать свой саст, который не будет грепалкой (pattern matching), а полноценно компилить участки кода и фаззить их/анализировать изменения переменных и при этом быть лучше fortify.. ну тут как бы прям постараться надо не одному десятку разрабов
K
Макс, там другое совсем делали. у моей идеи сесурити - это бонус, а не цель.
про fuzzy тоже интересно, но там ниша уже забита. ;-)
про fuzzy тоже интересно, но там ниша уже забита. ;-)
MM
Konstantin
у меня давно есть хорошая идея, как ML к SAST прикрутить, но там дохера работы. инвесторы есть? :-)
Ээ
MM
Вот оно прям)
MM
Но если хочешь свой саст, то глянь как активно продаются састы, а как dast и насколько больше пользы от depcheck)
2020 January 20
as
Народ привет, при аудите IT инфраструктуры часто ссоставляют security checklist чтобы потом оценить масштаб, ну и был план работ
as
есть ли у кого такой, который не попадает под NDA и можете поделиться?
bc
Зависит от того на соответствие чему проводят аудит
bc
Вот тут для NIST 800-53 например https://nvd.nist.gov/800-53
bc
А вот тут для ISO 27001 https://www.iso27001security.com/ISO27k_toolkit_2019-12.zip
as