#aspm — Public Fediverse posts on home.social

Habr @[email protected] · 2026-05-07 · 09:02 UTC

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

#безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc

Habr @[email protected] · 2026-05-07 · 09:02 UTC

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

#безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc

Habr @[email protected] · 2026-05-07 · 09:02 UTC

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

#безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc

Habr @[email protected] · 2026-05-07 · 09:02 UTC

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность

Xygeni Security @[email protected] · 2026-03-27 · 19:10 UTC

🏆 Award-winning Application Security Posture Management.
Xygeni has been recognized at the #GlobalInfosecAwards for 𝗫𝘆𝗴𝗲𝗻𝗶 𝗔𝗦𝗣𝗠.
https://xygeni.io/aspm-application-security-posture-management/
#ASPM #ApplicationSecurity #AppSec #DevSecOps

#globalinfosecawards #aspm #applicationsecurity #appsec #devsecops

Pyrzout :vm: @[email protected] · 2025-08-07 · 07:10 UTC

Palo Alto Networks Previews ASPM Module for Cortex Cloud Platform – Source: securityboulevard.com https://ciso2ciso.com/palo-alto-networks-previews-aspm-module-for-cortex-cloud-platform-source-securityboulevard-com/ #SecurityBoulevard(Original) #rssfeedpostgeneratorecho #ApplicationSecurity #CyberSecurityNews #SecurityBoulevard #PaloAltoNetworks #SocialFacebook #SocialLinkedIn #Spotlight #FEATURED #SocialX #ASPM #CDR #AI

#securityboulevard #rssfeedpostgeneratorecho #applicationsecurity #cybersecuritynews #paloaltonetworks #socialfacebook

Pyrzout :vm: @[email protected] · 2025-08-07 · 07:10 UTC

Palo Alto Networks Previews ASPM Module for Cortex Cloud Platform – Source: securityboulevard.com https://ciso2ciso.com/palo-alto-networks-previews-aspm-module-for-cortex-cloud-platform-source-securityboulevard-com/ #SecurityBoulevard(Original) #rssfeedpostgeneratorecho #ApplicationSecurity #CyberSecurityNews #SecurityBoulevard #PaloAltoNetworks #SocialFacebook #SocialLinkedIn #Spotlight #FEATURED #SocialX #ASPM #CDR #AI

#securityboulevard #rssfeedpostgeneratorecho #applicationsecurity #cybersecuritynews #paloaltonetworks #socialfacebook

ActiveState @[email protected] · 2025-02-26 · 23:01 UTC

Are your vulnerabilities truly managed? ActiveState’s blog on Intelligent Remediation dives into the 'last mile' of vulnerability management, offering insights on how to move from discovery to action. Secure your software supply chain, empower your developers, and streamline your processes. Don’t let vulnerabilities hold you back—find out how to take action today! https://www.activestate.com/blog/intelligent-remediation-the-last-mile-of-vulnerability-management/ #ASPM #DevSecOps #OpenSource

#aspm #devsecops #opensource

ActiveState @[email protected] · 2025-02-24 · 23:01 UTC

Are you ready to take your open-source management to the next level? ActiveState's latest blog explores how ASPM, powered by intelligent remediation, can transform your enterprise's approach to security and efficiency. Move beyond mere discovery to actionable solutions that safeguard your software supply chain.

Dive in to see how you can enhance your enterprise's resilience and productivity. https://www.activestate.com/blog/power-up-aspm-with-intelligent-remediation-moving-beyond-discovery-to-action/

#ASPM #OpenSource #Security

#aspm #opensource #security

ActiveState @[email protected] · 2025-01-31 · 23:01 UTC

🔒 Secure your software supply chain with ASPM! ActiveState's ASPM solution empowers your enterprise with visibility, compliance, and security across the SDLC. Automate vulnerability management, streamline compliance, and enhance your security posture. Discover how ASPM can transform your open source management today!

https://www.activestate.com/blog/application-security-posture-management-for-vulnerability-management/

#ASPM #OpenSource #SoftwareSecurity #ActiveState

#aspm #opensource #softwaresecurity #activestate

ActiveState @[email protected] · 2025-01-31 · 20:35 UTC

👋 Hello Mastodon! We're thrilled to join the community. At ActiveState, we revolutionize open source management with our platform, enhancing Application Security Posture Management (ASPM) for secure software supply chains. Gain insights, automate compliance, and integrate seamlessly with your workflows.

Let's secure your enterprise together! 🌐 #opensource #ASPM #softwaredevelopment

#opensource #aspm #softwaredevelopment

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#cloudsecurity #funding #cyberstarts #greylock #aspm #dazz

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#wiz #dazz #aspm #greylock #cyberstarts #funding

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#cloudsecurity #funding #cyberstarts #greylock #aspm #dazz

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#cloudsecurity #funding #cyberstarts #greylock #aspm #dazz

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#wiz #dazz #aspm #greylock #cyberstarts #funding

Pyrzout :vm: @[email protected] · 2024-11-21 · 16:30 UTC

Wiz Buys Dazz for $450 Million https://www.securityweek.com/wiz-buys-dazz-for-450-million/ #CloudSecurity #Funding/M&A #Cyberstarts #Greylock #ASPM #Dazz #Wiz

#cloudsecurity #funding #cyberstarts #greylock #aspm #dazz

Melinda Marks @[email protected] · 2023-10-30 · 16:48 UTC

It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso

#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast

Melinda Marks @[email protected] · 2023-10-30 · 16:48 UTC

It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso

#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast

Melinda Marks @[email protected] · 2023-10-30 · 16:48 UTC

It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso

#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast

Melinda Marks @[email protected] · 2023-10-30 · 16:48 UTC

It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso

#cso #ciso #infosec #cybersecurity #devsecops #wapp

Melinda Marks @[email protected] · 2023-10-30 · 16:48 UTC

It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso

#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast

Gary McGraw @[email protected] · 2023-10-13 · 15:08 UTC

Legit security Technical Advisory Board is meeting today in person. Washington DC. #swsec #ASPM

https://www.legitsecurity.com/

#swsec #aspm

Thorsten Leemhuis (acct. 1/4) @kernellogger · 2023-07-13 · 09:26 UTC

They joys of bugs in hardware or firmware[1]:

A user reported updating to #Linux #kernel 6.4.y broke #iwlwifi on a Intel 3165 NIC. Bisection identified 5fc3f6c90cc ("r8169: consolidate disabling ASPM before EPHY access") as culprit.

Turns out it was not a faulty bisection, as it seems enabling #ASPM on some #Realtek chips supported by #r8169 can harm other PCI devices. 🥴 🤨

https://bugzilla.kernel.org/show_bug.cgi?id=217635#c27

[1] or maybe it one day turns out that this is caused by a bug somewhere in the #LinuxKernel

#linux #kernel #iwlwifi #aspm #realtek #r8169

Melinda Marks @[email protected] · 2023-06-14 · 04:50 UTC