Вопрос или проблема
Я ищу систему для управления результатами тестирования на проникновение. Интересно, есть ли программное обеспечение от вендоров, с помощью которого мои тестировщики на проникновение могут “зафиксировать находку”, а затем управлять рабочим процессом вокруг этой находки, например: Открыто -> Анализ -> Ожидание исправления -> Исправлено -> Ожидание повторного тестирования -> Закрыто.
Я рассматривал Jira / ServiceNow также предлагает решение – ServiceNow, похоже, не до конца готов и имеет проблемы с кастомизацией. Интересно, что используют другие для отслеживания и управления результатами их тестирования на проникновение.
К сожалению, я не знаком с тестированием на проникновение. Но мне кажется, что этот процесс не сильно отличается от обычного отслеживания ошибок. Поскольку Jira уже была упомянута в вопросе, я предложу другие альтернативы Mantis, Bugzilla и Redmine.
Ответ или решение
Для управления находками в процессе тестирования на проникновение (пен-тестирования) важно иметь систему, позволяющую эффективно отслеживать процесс от выявления уязвимости до её устранения. Поскольку вы уже рассмотрели такие решения, как Jira и ServiceNow, а также упомянули их недостатки, позвольте предложить несколько дополнительных альтернативных платформ, которые могли бы лучше соответствовать вашим требованиям.
1. Dradis
Dradis — это инструмент, специально разработанный для управления находками от тестирования безопасности. В нём предусмотрены функции для документирования результатов пен-тестирования, включая возможность отслеживания статуса каждого запроса в уникальной базе данных. Dradis обеспечивает интеграцию с другими инструментами безопасности, что помогает в автоматизации и упрощении работы команд.
Ключевые преимущества:
- Удобный интерфейс для ведения отчёта.
- Интеграция с другими основными инструментами.
- Возможность создания настраиваемых шаблонов для отчётов.
2. Faraday
Faraday — это платформа для управления уязвимостями, которая предоставляет пользователю возможность работать с выявленными находками в реальном времени. Она также позволяет интегрироваться с другими инструментами для автоматизации процесса. Платформа ориентирована на командные взаимодействия, что делает её идеальной для совместной работы над пен-тестами.
Ключевые преимущества:
- Поддержка множества плагинов и инструментов.
- Возможность совместного использования данных между членами команды.
- Визуализация данных и интеграция с системами управления уязвимостями.
3. DefectDojo
DefectDojo — это бесплатное и открытое решение для управления уязвимостями, специально разработанное для обработки находок из пен-тестирования и сканирования на уязвимости. Это решение предлагает простую систему управления жизненным циклом уязвимостей и поддерживает интеграцию с множеством популярных средств тестирования.
Ключевые преимущества:
- Возможность масштабирования для поддержки большого объёма данных.
- Сообщество разработчиков, обеспечивающее поддержку и обновления.
- Широкие возможности интеграции и кастомизации.
4. Bugcrowd / HackerOne
Если ваш процесс требует работы с внешними тестировщиками, такие платформы, как Bugcrowd и HackerOne могут стать отличным выбором. Эти платформы позволяют управлять уязвимостями с помощью краудсорсингового подхода, где панель испытателей создаёт находки в удобной для вас форме.
Ключевые преимущества:
- Широкая сеть квалифицированных тестировщиков.
- Полноценная интеграция с системой управления уязвимостями.
- Аудит и отчеты о безопасности.
Заключение
В зависимости от специфики вашего бизнеса и особенностей тестирования на проникновение, каждая из этих систем может предложить уникальные преимущества. Я рекомендую рассмотреть условия лицензирования, возможности интеграции, а также поддержку кастомизации, чтобы выбрать наиболее подходящий инструмент.
Выбор подходящего инструмента управления находками для пен-тестирования — это ключевой элемент обеспечения безопасности вашего приложения и базы данных. Правильно выбранная система поможет не только организовать работу вашей команды, но и существенно повысить общую эффективность процесса тестирования.