Эксперты Swordfish Security опубликовали новый разбор уязвимостей, где показали, что не всегда установка свежей версии библиотеки решает проблему. Подход Deep-dive предполагает глубокий анализ кода, контекста использования и ручную проверку потенциально опасных участков.
«В нашей практике мы регулярно сталкиваемся с ситуацией, когда рекомендация “просто обновитесь” не отражает реального уровня риска. Методика Deep-dive позволяет отделить критичные угрозы от ложных срабатываний и выстроить правильный план защиты», — отмечают специалисты Swordfish Security.
В публикации подробно описаны этапы методики: от проверки данных в SCA-сканере и анализа CVE до практической оценки уязвимости с помощью SAST, data-flow анализа и ручного тестирования. На примерах уязвимостей в Spring-expression и Struts2-core показано, как такой подход помогает избежать ошибок в оценке критичности.
По мнению экспертов Swordfish Security, глубокая верификация особенно востребована, когда безопасной версии ещё нет или обновление невозможно без серьёзных изменений в инфраструктуре.
Подробнее на сайте
«В нашей практике мы регулярно сталкиваемся с ситуацией, когда рекомендация “просто обновитесь” не отражает реального уровня риска. Методика Deep-dive позволяет отделить критичные угрозы от ложных срабатываний и выстроить правильный план защиты», — отмечают специалисты Swordfish Security.
В публикации подробно описаны этапы методики: от проверки данных в SCA-сканере и анализа CVE до практической оценки уязвимости с помощью SAST, data-flow анализа и ручного тестирования. На примерах уязвимостей в Spring-expression и Struts2-core показано, как такой подход помогает избежать ошибок в оценке критичности.
По мнению экспертов Swordfish Security, глубокая верификация особенно востребована, когда безопасной версии ещё нет или обновление невозможно без серьёзных изменений в инфраструктуре.
Подробнее на сайте