Swordfish | Александр В. Леонов

Подводные камни Open Source. Прикольная статья вышла в блоге Swordfish Security на Хабре. Основная идея там в том, что если вы видите бесплатное Open Source решение (в статье разбирается Defect Dojo и Semgrep), то прежде чем кидаться его использовать, неплохо подумать, а почему оно ничего не стоит конечному потребителю. Где подвох?

🔹 Иногда подвоха нет, а проект развивают энтузиасты just4fun или за счёт грантовой поддержки. 😇

🔹 Но частенько подвох в том, что в опенсурсе находится только сознательно урезанная до самой базовой функциональности версия коммерческого продукта (очень даже платного). Что-то вроде демки. Если вам не хватает чего-то для полноценной работы, то это так и задумано. 😉

Тут можно сказать: код-то открытый, сейчас кааак форкнем и допишем что надо? Теоретически да, а практически поддерживать чужой проект бывает настолько грустно, что проще с нуля переписать.

Или выбить бюджет на коммерческое решение с поддержкой и не париться. 🙃

TAdviser выпустили карту российского рынка информационной безопасности 2024. Как и в прошлом году, отдельного раздела под Vulnerability Management там нет, но есть раздел "Системы анализа защищенности, Средства безопасной разработки (DevSecOps)".

В прошлом году там было 15 вендоров, в этом 21.

🔹 Переименовали (1): AppSec Hub -> AppSec Solutions
🔹 Добавили (7): Security Vision, МТС RED, StartX, Profiscope, BIFIT, Crosstech Solutions Group, Фродекс
🔹 Убрали (1): WebControl

Имхо, стало смотреться получше. Подборка вендоров неплохо бьётся с моей картой отечественных вендоров Средств Управления Уязвимостями. Большая часть вендоров там уже есть. Нескольких есть смысл туда добавить. 🤔

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Swordfish

Подводные камни Open Source

TAdviser выпустили карту российского рынка информационной безопасности 2024