Кому нужен AppSec?

В комментариях к предыдущей публикации коллега chukot задал интересный вопрос, цитирую:

Можно поинтересоваться - какая целевая ниша у этого продукта? Явно не по соседству с MaxPatrol его ставить и нагружать такой спецификой местных ИБшников. Тут скорее для каких-то хардкорных аудиторов и веб-программеров.

Конечно, повышение защищенности приложений далеко не так увлекательно, как обеспечение соответствия очередной ветке регулирования законодательства о защите персональных данных, но все же.
Хотелось многое написать, но пусть вместо нас говорит рынок.
Согласно Verizon 2013 Data Breach Investigations Report, атаки на Web-приложения использовались в ~27% всех инцидентов ИБ в крупных корпорациях.

Скрестить ужа с ежом/найти все-все 0day/захватить вселенную!11

Краткое содержание

несовместимость DAST/SAST; IAST - buzzword и реальность;третий путь;меньше скобок

Как было отмечено в предыдущей заметке, у систем поиска уязвимостей SAST и  DAST есть и преимущества и недостатки, поэтому проблема поиска оптимального подхода к автоматизации анализа безопасности приложений не теряет своей актуальности. За последние несколько лет было выполнено как минимум три подхода к решению этой задачи.

Черно-белая «статика» или динамический анализ исходных кодов

Краткое содержание: как модно искать уязвимости приложений; почему SAST и статический анализ, и DAST и динамический анализ не синонимы; в чем прелесть SAST и красота DAST; много скобок.

Охота на ведьм в исходных кодах: НДВ, закладки и черная магия

Краткое содержание

Много букв и пару картинок про "закладки", "НДВ", бэкдор, анализ исходных кодов и APT, хотя он здесь оказался не при чем (внимание! в тексте много скобок и немного теории заговора).