| SAST |
Static Application Security Testing |
Static AST |
Исходный код, IDE, pre‑commit, CI/CD (ранние стадии SDLC) |
Статический анализ исходного кода без запуска приложения. Помогает обнаруживать уязвимости, ошибки и нарушения безопасных практик ещё до сборки и деплоя. |
| DAST |
Dynamic Application Security Testing |
Dynamic AST |
Работающие web‑ и API‑приложения, стенды QA/UAT, демо‑среды |
Динамическое тестирование безопасности «чёрным ящиком»: имитирует реальные атаки на запущенное приложение, анализирует ответы и поведение без доступа к коду. |
| IAST |
Interactive Application Security Testing |
Interactive AST |
Интеграция агента в приложение на тестовых/QA‑средах |
Комбинирует подходы SAST и DAST. Агент внутри приложения отслеживает реальные потоки данных и вызовы, повышая точность и снижая количество ложных срабатываний. |
| RASP |
Runtime Application Self‑Protection |
Runtime Protection |
Прод/пре‑прод окружения, высокорисковые приложения |
Средства самозащиты приложения в рантайме: перехватывают опасные операции (SQL, файлы, сеть), анализируют контекст и блокируют атаки внутри процесса. |
| SCA |
Software Composition Analysis |
SCA / OSA |
Менеджеры зависимостей, репозитории, CI/CD, контейнеры |
Анализ состава ПО (зависимостей, библиотек, пакетов) на наличие известных уязвимостей (CVE), проблем лицензирования и рисков цепочки поставок. |
| OSA |
Open Source Analysis |
SCA / OSA |
Использование OSS‑компонентов в продуктах и сервисах |
Фокус на компонентах с открытым исходным кодом: безопасность, качество сопровождения, совместимость лицензий, соответствие внутренней OSS‑политике. |
| SBOM |
Software Bill of Materials |
SBOM / Inventory |
Продукты с большим количеством зависимостей, поставка ПО, комплаенс |
Структурированный перечень всех компонентов (библиотек, пакетов, образов), входящих в продукт. Нужен для управления рисками цепочки поставок и соответствия требованиям регуляторов. |
| SM |
Secret Management |
Secret Management |
CI/CD, приложения, микросервисы, инфраструктура (VM, K8s) |
Централизованное хранение и выдача секретов (пароли, токены, ключи, сертификаты), ротация, аудит доступа, интеграция с приложениями и пайплайнами. |
| NVS |
Network Vulnerability Scanner |
Infra / Network |
Сетевой периметр, внутренние сегменты, DMZ, VPN‑шлюзы |
Сканирование хостов и сервисов на уровне сети (L3/L4): поиск открытых портов, уязвимых версий сервисов и небезопасных конфигураций. |
| BCA |
Bytecode and Container Analysis |
Binary / Container |
Контейнерные образы, бинарные сборки, артефакты CICD |
Анализ бинарного кода и контейнеров на уязвимости, вредоносный или подозрительный контент, плохие практики упаковки и конфигурации. |
| CIS |
Container Image Scanner |
Container Security |
Docker/OCI‑образы, реестры контейнеров (public/private) |
Сканирование образов контейнеров на уязвимости (OS‑пакеты, библиотеки), утечки секретов и нарушения best practices (root‑юзер, лишние capabilities и т.п.). |
| CSPM |
Cloud Security Posture Management |
Cloud Posture |
Публичные/частные облака, Kubernetes, IaaS/PaaS‑сервисы |
Непрерывный аудит конфигураций облака и K8s: IAM, сети, хранилища, политики. Ищет отклонения от бенчмарков (CIS, NIST) и внутренних требований. |
| CNAPP |
Cloud‑Native Application Protection Platform |
Cloud Platform |
Крупные cloud‑ландшафты, мульти‑облако, K8s + контейнеры |
Объединяет CSPM, CWPP, контейнерную и рантайм‑безопасность. Дает сквозное представление рисков: от кода и образов до облачной инфраструктуры и production‑нагрузок. |
| CWPP |
Cloud Workload Protection Platform |
Workload Protection |
VM, контейнеры, serverless‑функции в облаке и on‑prem |
Защита рабочих нагрузок: мониторинг процессов, сетевых соединений, файловой активности и политик безопасности на уровне хоста/агента. |
| ASPM |
Application Security Posture Management |
AppSec Management |
Организации с большим количеством приложений и сканеров |
Консолидация результатов SAST, DAST, SCA, секрет‑сканеров и др. Помогает приоритизировать риски, связывать их с системами/компонентами и управлять устранением уязвимостей. |
| SCM |
Source Code Management |
Source Control |
Все проекты, использующие системы контроля версий (Git и др.) |
Управление версиями исходного кода и артефактов. Базовая точка интеграции AppSec‑инструментов (hooks, PR‑checks, секрет‑сканеры, SBOM‑генерация). |
| License Policy |
— |
License / Governance |
Организации с формальной OSS‑политикой и требованиями комплаенса |
Политики и проверки на соблюдение лицензионных условий (тип лицензии, совместимость, запрет определённых лицензий) при использовании сторонних и open‑source компонентов. |
| SCS |
Secure Code Standards |
Secure Coding |
Команды разработки, внутренние стандарты и гайды |
Набор правил и практик безопасной разработки: что считать «безопасным кодом» в организации. Ложится в основу профилей SAST, code review и обучающих программ. |
| MLSecOps |
Machine Learning Security Operations |
ML / AI Security |
Проекты с ML/LLM‑моделями и MLOps‑пайплайнами |
Инструменты и практики защиты ML/LLM‑моделей: защита данных, моделей и артефактов, тестирование устойчивости к атакам, управление рисками цепочки поставок ML. |
| SIEM |
Security Information and Event Management |
Monitoring / Analytics |
SOC, центры мониторинга, крупные ландшафты |
Централизованный сбор и корреляция событий безопасности. В контексте AppSec получает события от CI/CD, приложений, WAF, контейнеров и помогает строить сценарии реагирования. |
| SOAR |
Security Orchestration, Automation and Response |
Automation / Response |
Организации с SOC и высоким уровнем автоматизации |
Оркестрация и автоматизация реакций на инциденты: обработка алертов AppSec‑инструментов, создание тикетов, блокировка артефактов, обновление политик и запуск плейбуков. |