Do posłuchania: What is an SBOM and Why Should You Care? w/ Allan Friedman.
Jedną z rzeczy, które mnie irytują/martwią to założenie, że problem opisywany jako Using Components with Known Vulnerabilities można zaadresować przez testowania. Nie, nie można i to z wielu powodów. Choćby dlatego, że pentest dzieje się w określonym czasie, a nowe podatności są wykrywane 24/7/365. Inne formy testowania (vulnerability scanning, source code scanning) również odbywają się okresowo. Nawet jeśli produkt jest aktywnie rozwijany, a samo skanowanie jest zintegrowane z CI/CD pipeline, to i tak istnieje niezerowa szansa, że problem nie jest rozwiązany. Dlaczego? Proste pytanie - jak wiele poziomów w głąb używane narzędzia sięgają?
Tutaj (paradoksalnie) uważam, że vulnerability scanning (lub raczej DAST) ma pewną przewagę nad SAST (pentestu nie porównuje z uwagi na inną "cykliczność") - jeśli narzędzie używane do skanowania ma sygnaturę (OK, w tym kontekście nie do końca o sygnaturę chodzi) dla określonej podatności, to istnieje duża szansa, na jej znalezienie, nawet jeśli jest ona powodowana przez bibliotekę wiszącą gdzieś głęboko w drzewie zależności.
@Filip: dla Ciebie :)
