| SAST | Static Application Security Testing | Static AST | Исходный код, IDE, pre‑commit, CI/CD (ранние стадии SDLC) | Статический анализ исходного кода без запуска приложения. Помогает обнаруживать уязвимости, ошибки и нарушения безопасных практик ещё до сборки и деплоя. |
| DAST | Dynamic Application Security Testing | Dynamic AST | Работающие web‑ и API‑приложения, стенды QA/UAT, демо‑среды | Динамическое тестирование безопасности «чёрным ящиком»: имитирует реальные атаки на запущенное приложение, анализирует ответы и поведение без доступа к коду. |
| IAST | Interactive Application Security Testing | Interactive AST | Интеграция агента в приложение на тестовых/QA‑средах | Комбинирует подходы SAST и DAST. Агент внутри приложения отслеживает реальные потоки данных и вызовы, повышая точность и снижая количество ложных срабатываний. |
| RASP | Runtime Application Self‑Protection | Runtime Protection | Прод/пре‑прод окружения, высокорисковые приложения | Средства самозащиты приложения в рантайме: перехватывают опасные операции (SQL, файлы, сеть), анализируют контекст и блокируют атаки внутри процесса. |
| SCA | Software Composition Analysis | SCA / OSA | Менеджеры зависимостей, репозитории, CI/CD, контейнеры | Анализ состава ПО (зависимостей, библиотек, пакетов) на наличие известных уязвимостей (CVE), проблем лицензирования и рисков цепочки поставок. |
| OSA | Open Source Analysis | SCA / OSA | Использование OSS‑компонентов в продуктах и сервисах | Фокус на компонентах с открытым исходным кодом: безопасность, качество сопровождения, совместимость лицензий, соответствие внутренней OSS‑политике. |
| SBOM | Software Bill of Materials | SBOM / Inventory | Продукты с большим количеством зависимостей, поставка ПО, комплаенс | Структурированный перечень всех компонентов (библиотек, пакетов, образов), входящих в продукт. Нужен для управления рисками цепочки поставок и соответствия требованиям регуляторов. |
| SM | Secret Management | Secret Management | CI/CD, приложения, микросервисы, инфраструктура (VM, K8s) | Централизованное хранение и выдача секретов (пароли, токены, ключи, сертификаты), ротация, аудит доступа, интеграция с приложениями и пайплайнами. |
| NVS | Network Vulnerability Scanner | Infra / Network | Сетевой периметр, внутренние сегменты, DMZ, VPN‑шлюзы | Сканирование хостов и сервисов на уровне сети (L3/L4): поиск открытых портов, уязвимых версий сервисов и небезопасных конфигураций. |
| BCA | Bytecode and Container Analysis | Binary / Container | Контейнерные образы, бинарные сборки, артефакты CICD | Анализ бинарного кода и контейнеров на уязвимости, вредоносный или подозрительный контент, плохие практики упаковки и конфигурации. |
| CIS | Container Image Scanner | Container Security | Docker/OCI‑образы, реестры контейнеров (public/private) | Сканирование образов контейнеров на уязвимости (OS‑пакеты, библиотеки), утечки секретов и нарушения best practices (root‑юзер, лишние capabilities и т.п.). |
| CSPM | Cloud Security Posture Management | Cloud Posture | Публичные/частные облака, Kubernetes, IaaS/PaaS‑сервисы | Непрерывный аудит конфигураций облака и K8s: IAM, сети, хранилища, политики. Ищет отклонения от бенчмарков (CIS, NIST) и внутренних требований. |
| CNAPP | Cloud‑Native Application Protection Platform | Cloud Platform | Крупные cloud‑ландшафты, мульти‑облако, K8s + контейнеры | Объединяет CSPM, CWPP, контейнерную и рантайм‑безопасность. Дает сквозное представление рисков: от кода и образов до облачной инфраструктуры и production‑нагрузок. |
| CWPP | Cloud Workload Protection Platform | Workload Protection | VM, контейнеры, serverless‑функции в облаке и on‑prem | Защита рабочих нагрузок: мониторинг процессов, сетевых соединений, файловой активности и политик безопасности на уровне хоста/агента. |
| ASPM | Application Security Posture Management | AppSec Management | Организации с большим количеством приложений и сканеров | Консолидация результатов SAST, DAST, SCA, секрет‑сканеров и др. Помогает приоритизировать риски, связывать их с системами/компонентами и управлять устранением уязвимостей. |
| SCM | Source Code Management | Source Control | Все проекты, использующие системы контроля версий (Git и др.) | Управление версиями исходного кода и артефактов. Базовая точка интеграции AppSec‑инструментов (hooks, PR‑checks, секрет‑сканеры, SBOM‑генерация). |
| License Policy | — | License / Governance | Организации с формальной OSS‑политикой и требованиями комплаенса | Политики и проверки на соблюдение лицензионных условий (тип лицензии, совместимость, запрет определённых лицензий) при использовании сторонних и open‑source компонентов. |
| SCS | Secure Code Standards | Secure Coding | Команды разработки, внутренние стандарты и гайды | Набор правил и практик безопасной разработки: что считать «безопасным кодом» в организации. Ложится в основу профилей SAST, code review и обучающих программ. |
| MLSecOps | Machine Learning Security Operations | ML / AI Security | Проекты с ML/LLM‑моделями и MLOps‑пайплайнами | Инструменты и практики защиты ML/LLM‑моделей: защита данных, моделей и артефактов, тестирование устойчивости к атакам, управление рисками цепочки поставок ML. |
| SIEM | Security Information and Event Management | Monitoring / Analytics | SOC, центры мониторинга, крупные ландшафты | Централизованный сбор и корреляция событий безопасности. В контексте AppSec получает события от CI/CD, приложений, WAF, контейнеров и помогает строить сценарии реагирования. |
| SOAR | Security Orchestration, Automation and Response | Automation / Response | Организации с SOC и высоким уровнем автоматизации | Оркестрация и автоматизация реакций на инциденты: обработка алертов AppSec‑инструментов, создание тикетов, блокировка артефактов, обновление политик и запуск плейбуков. |
