#application_security — Public Fediverse posts

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

Топ техник атак на веб-приложения — 2025 и как разработчику защищаться от нетривиальных уязвимостей

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

https://habr.com/ru/companies/sourcecraft/articles/1026090/

#безопасность_вебприложений #application_security #уязвимости

----------------

🛠️ Tool
===================

Opening: Codex Security is an application security agent that builds deep, project-specific context to identify and validate complex vulnerabilities. It pairs agentic reasoning from frontier models with automated validation to raise signal and reduce noise in vulnerability findings.

Key Features:
• Project threat modeling: Generates an editable, system-specific threat model that captures what the system does, what it trusts, and high-exposure surfaces.
• Prioritization and validation: Uses the threat model to prioritize findings by expected real-world impact and pressure-tests issues in sandboxed validation environments. When configured with a tailored environment, validation can occur against a running system to produce working proofs-of-concept.
• Context-aware patching: Proposes fixes aligned with system intent and surrounding behavior to minimize regressions and ease code review.
• Feedback learning: Incorporates user feedback to reduce false positives and align severity with real-world risk.

Technical implementation (conceptual):
• Agentic reasoning runs on OpenAI frontier models via the Codex agent to synthesize code and architecture context.
• Automated validators execute in sandboxed environments to confirm exploitability and produce evidence such as proof-of-concept artifacts.
• Editable threat models act as contextual anchors for both discovery and prioritization pipelines.

Use cases:
• Pre-merge or repository-wide security scanning where contextual accuracy reduces triage burden.
• Teams needing validated PoCs to support remediation and code-review decisions.
• Security workflows that require prioritized remediation lists aligned to system intent.

Limitations:
• Validation depth depends on the quality and fidelity of provided project/environment context; higher-fidelity environments enable stronger validation but require configuration.
• The system’s performance and precision are described based on early beta metrics; results may vary across repositories and architectures.

References: Research preview availability via Codex web for ChatGPT Pro, Enterprise, Business, and Edu users; reported beta metrics: noise reduced up to 84% in one repo, over-reported severity down >90%, false positives down >50%.

🔹 tool #application_security #threat_model #automated_validation #codex_security

🔗 Source: https://openai.com/index/codex-security-now-in-research-preview/

----------------

📚 Frameworks
===================

Executive summary: The OWASP Cheat Sheet Series is the official OWASP repository of concise, topic-focused application security guidance. The project aggregates actionable cheat sheets aimed at developers, reviewers, and integration teams, and includes documentation for contributors and content standards.

Technical details:
• The repository centralizes individual cheat sheets covering secure coding, authentication, session management, cryptography, input validation, and other application-security domains.
• Documentation files of note include CONTRIBUTING.md and GUIDELINE.md which define contribution workflow and the structure/quality expectations for new cheat sheets.
• The project provides an automated build process and a distributable offline archive (bundle.zip) for teams that want an offline copy of the site.
• Communication and community coordination occur via the OWASP Slack workspace and the #cheatsheets channel mentioned by the project.

Implementation and architecture (conceptual):
• Content is authored in Markdown as the canonical source format and rendered into a static site for web consumption. The repository maintains linting and terminology checks to preserve consistency across entries.
• The build pipeline includes markdown/terminology linters and a bundling step to produce an offline package intended for internal distribution or air-gapped environments.

Use cases:
• Developers seeking compact, prescriptive guidance for specific secure-coding problems.
• Security reviewers and architects needing checklist-style references during code reviews and design reviews.
• Teams and educators requiring an offline, distributable set of best practices for training or policy alignment.

Limitations and considerations:
• The repository is community-maintained; coverage varies by topic and relies on volunteer contributions for updates and new content.
• The guidance is reference-oriented and not a replacement for in-depth standards or formal compliance controls; context-specific adaptation is required when applying guidance to complex systems.

References and governance:
• The project lists project leaders and core team members, and invites contributions via issue tracking and pull requests. The repository also documents linting rules and terminology standards to maintain consistency.

🔹 OWASP #cheatsheets #application_security #security_guidelines #bookmark

🔗 Source: https://github.com/OWASP/CheatSheetSeries/tree/master/cheatsheets

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Основы безопасности веб-приложений: с нуля до предупреждения атаки

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение , на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде. Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки. Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb . Их URL я положил в workshop/urls.txt в репозитории проекта. Дисклеймер : статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

https://habr.com/ru/companies/alfa/articles/967226/

#application_security #приожение #кибербезопасность #информационная_безопасность #appsec

Основы безопасности веб-приложений: с нуля до предупреждения атаки

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение , на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде. Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки. Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb . Их URL я положил в workshop/urls.txt в репозитории проекта. Дисклеймер : статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

https://habr.com/ru/companies/alfa/articles/967226/

#application_security #приожение #кибербезопасность #информационная_безопасность #appsec

Основы безопасности веб-приложений: с нуля до предупреждения атаки

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение , на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде. Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки. Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb . Их URL я положил в workshop/urls.txt в репозитории проекта. Дисклеймер : статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

https://habr.com/ru/companies/alfa/articles/967226/

#application_security #приожение #кибербезопасность #информационная_безопасность #appsec

Основы безопасности веб-приложений: с нуля до предупреждения атаки

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение , на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде. Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки. Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb . Их URL я положил в workshop/urls.txt в репозитории проекта. Дисклеймер : статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

https://habr.com/ru/companies/alfa/articles/967226/

#application_security #приожение #кибербезопасность #информационная_безопасность #appsec

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Реализация сервиса сканирования на основе OWASP ZAP

Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.

https://habr.com/ru/companies/vk/articles/829030/

#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)

Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии! Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы: Мониторинг API-активности. SOC может использовать интегрированные в WAF системы обнаружения API для мониторинга активности взаимодействия с API, включая запросы, ответы, аутентификацию и авторизацию. Это позволяет обнаруживать подозрительную или незаконную активность, такую как несанкционированные попытки доступа или использование API для атак. Обнаружение аномалий в API-трафике: Интеграция с системами обнаружения API позволяет SOC анализировать трафик и обнаруживать аномалии, такие как необычные или аномально высокие объемы запросов, необычные паттерны поведения или подозрительные изменения в обработке данных. Подобные ситуации характерны для поведенческих атак, таких как: перебор паролей, перебор идентификаторов сессии, принудительный просмотр ресурсов веб‑приложения (Forced Browsing), подстановка учетных данных. В каких ситуациях это может быть важно. Аномалия в API-трафике, связанная с резким повышение количества запросов к конечным точкам инфраструктуры содержащих аутентификационные данные, например пароли, токены и секретные ключи. На иллюстрации ниже представлено отображение таких эндпоинтов в «ПроAPI Структура» с указанием типов чувствительных данных (токен, пароль и т.д.) и количества хитов/атак.

https://habr.com/ru/companies/webmonitorx/articles/842138/

#информационная_безопасность #кибербезопасность #waf #soc #siem #asoc #application_security #api #web_security #web_application_firewall

AppSec-платформа для сотен миллионов строк кода

Сегодня я хочу рассказать про нашу внутреннюю AppSec-разработку – платформу Security Gate. Начну с предпосылок для ее создания, подробно опишу архитектуру решения и поделюсь открытиями и маленькими неожиданностями, которые ждали нас (и могут ждать любого в рамках построения похожего инструмента). В этой статье мы оставим за рамками то, какое значение имеет UX в построении платформы — об этом можно написать отдельную статью, поскольку этой теме хочется уделить особое внимание.

https://habr.com/ru/companies/vk/articles/824496/

#appsec #asoc #application_security #разработка #информационная_безопасность

Как не потерять свои контейнеры у себя в инфраструктуре?

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения. Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

https://habr.com/ru/companies/pt/articles/936868/

#container_security #appsec #application_security #devsecops

Как не потерять свои контейнеры у себя в инфраструктуре?

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения. Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

https://habr.com/ru/companies/pt/articles/936868/

#container_security #appsec #application_security #devsecops

Как не потерять свои контейнеры у себя в инфраструктуре?

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения. Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

https://habr.com/ru/companies/pt/articles/936868/

#container_security #appsec #application_security #devsecops

Как не потерять свои контейнеры у себя в инфраструктуре?

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения. Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

https://habr.com/ru/companies/pt/articles/936868/

#container_security #appsec #application_security #devsecops

Безопасная разработка как игра в Dungeons & Dragons

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему. Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀. Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть. Собираем команду Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например: ⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки. 🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места. ⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения 🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

https://habr.com/ru/articles/925524/

#appsec #devsecops #информационная_безопасность #безопасная_разработка #application_security #dungeons_and_dragons

Безопасная разработка как игра в Dungeons & Dragons

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему. Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀. Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть. Собираем команду Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например: ⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки. 🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места. ⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения 🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

https://habr.com/ru/articles/925524/

#appsec #devsecops #информационная_безопасность #безопасная_разработка #application_security #dungeons_and_dragons

Безопасная разработка как игра в Dungeons & Dragons

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему. Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀. Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть. Собираем команду Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например: ⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки. 🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места. ⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения 🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

https://habr.com/ru/articles/925524/

#appsec #devsecops #информационная_безопасность #безопасная_разработка #application_security #dungeons_and_dragons

Безопасная разработка как игра в Dungeons & Dragons

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему. Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀. Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть. Собираем команду Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например: ⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки. 🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места. ⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения 🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

https://habr.com/ru/articles/925524/

#appsec #devsecops #информационная_безопасность #безопасная_разработка #application_security #dungeons_and_dragons

[レポート] Scaling security with Sportsbet's Security Guardians program #APS204 #AWSreInforce
https://dev.classmethod.jp/articles/aws-reinforce-2025-Sportsbets-Security-Guardians-program-aps204/

#dev_classmethod #AWS #Application_Security

[レポート] Scaling security with Sportsbet's Security Guardians program #APS204 #AWSreInforce
https://dev.classmethod.jp/articles/aws-reinforce-2025-Sportsbets-Security-Guardians-program-aps204/

#dev_classmethod #AWS #Application_Security

WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO

Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг.

https://habr.com/ru/articles/916434/

#информационная_безопасность #кибербезопасность #devsecops #threatanalysis #application_security #appsec #positive_technologies

WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO

Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг.

https://habr.com/ru/articles/916434/

#информационная_безопасность #кибербезопасность #devsecops #threatanalysis #application_security #appsec #positive_technologies

WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO

Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг.

https://habr.com/ru/articles/916434/

#информационная_безопасность #кибербезопасность #devsecops #threatanalysis #application_security #appsec #positive_technologies

WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO

Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг.

https://habr.com/ru/articles/916434/

#информационная_безопасность #кибербезопасность #devsecops #threatanalysis #application_security #appsec #positive_technologies

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec