#dast — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #dast, aggregated by home.social.
-
Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться.
https://habr.com/ru/articles/1012034/
#blackbox #owasp #qa_automation #webприложения #appsec #dast
-
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
-
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
-
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
-
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
-
🎯 Kick off 2026 with OWASP London Training Days! Join Josh Grossman’s updated 2-Day training: Building a High-Value AppSec Scanning Programme (2026). Cut through SAST, DAST & SCA noise and deliver real AppSec value.📍 Secure your spot now: https://londonowasptrainingdays2025.sched.com/event/2CR8o
-
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
-
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
-
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
-
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
-
DevSecOps для всех: как развернуть стенд за 15 минут
Перед каждой презентацией одна и та же история: собираешь инфраструктуру вручную, молишься богам DevOps и придумываешь отговорки на случай внезапных багов. С DevSecOps особенно весело: мало установить сам продукт, нужен целый зоопарк из GitLab, Kubernetes, сканеров безопасности и систем управления уязвимостями. Поэтому мы собрали DevSecOps-песочницу, которая разворачивается одной кнопкой: подождал 15 минут — готово. Всё крутится на одной виртуальной машине с K3s, управляется через Terraform и Cloud-init, а главное — воспроизводится с гарантированным результатом. Расскажу, как устроено это решение, с какими проблемами столкнулись и почему без автоматизации инфраструктуры сегодня никуда. Над проектом работала команда из К2 Кибербезопасность: я, Максим Гусев, инженер по защите ИТ-инфраструктуры, и мои коллеги — Максим Виноградов и Александр Лысенко.
https://habr.com/ru/companies/k2tech/articles/970058/
#информационная_безопасность #devsecops #terraform #cloudinit #devops #container_security #sast #dast #sca #kaspersky
-
Manual DAST? That's so last decade, like debugging with print() statements and hoping for the best. 🙄 Automating DAST is no longer optional; it's crucial for baking security into your CI/CD without slowing down development.
Are your DAST tools keeping pace, or are they still living in the stone age, creating bottlenecks and developer headaches?
#DevSecOps #DAST #Automation #CI_CD #CyberSecurity #SoftwareDevelopment
https://www.artificialintelligence-news.com/news/the-engineers-guide-to-automating-dast-tools/ -
Разбираемся с IAST
Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений – IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.
-
Anyone have experience using the ZAP docker images to scan sites? I have a context file I’m feeding the full scan image but it appears to only scan the top level and not recurse. I can see it authenticating and running the checks, but it finds only 12 URLs whereas other scanners find 212. #dast #zaproxy
-
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
-
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
-
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
-
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
-
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
-
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
-
Still unsure of what ZAP does?
See this video..
https://youtu.be/yywD8ebNn6o
#zaproxy #dast #appsec -
Подземелье и драконы: что общего между метро и разработкой
Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро! Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем. Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы. Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!
https://habr.com/ru/companies/pt/articles/921356/
#appsec #devsecops #подземка #метро #московское_метро #sast #dast #безопасная_разработка #dependency_check #copilot
-
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
-
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
-
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
-
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
-
🛡️ Security Scanner for Web Applications
🔒 Privacy-First Security Analysis 👩💻 Built by Developers, for DevelopersTry it now: https://webscan.dev
-
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing) в последние годы стало уже стандартом. На эту тему есть уже довольно много материала на habr, но я хочу сконцентрироваться на быстром и базовом внедрении решения по безопасности в следующий стек технологий: Infrastructure: Docker, Docker Compose, GitLab, GitLab CI/CD Backend: Python, Django с использованием Poetry Frontend: Vue.js, Nuxt.js Погнали!
-
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и инструменты использовали в ходе интеграции и используем сейчас.
https://habr.com/ru/companies/basis/articles/869648/
#devops #devsecops #поиск_уязвимостей #безопасная_разработка #инструменты_тестирования #sast #dast #fuzzing #контейнеры
-
We have restarted the ZAP monthly blog posts: https://www.zaproxy.org/blog/2024-11-01-zap-updates-october-2024/
#zaproxy #appsec #dast -
Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов
Привет! На связи Олег Казаков из Spectr . В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps
-
Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов
Привет! На связи Олег Казаков из Spectr . В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps
-
Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов
Привет! На связи Олег Казаков из Spectr . В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps
-
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.
https://habr.com/ru/companies/vk/articles/829030/
#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ
-
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.
https://habr.com/ru/companies/vk/articles/829030/
#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ
-
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.
https://habr.com/ru/companies/vk/articles/829030/
#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ
-
Do you use DAST from one of the many companies which build on top of ZAP but do not support us?
Please encourage them to support us now!
https://www.zaproxy.org/third-party-services/
#zaproxy #DAST #opensource -
<Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST
Привет, Хабр! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. В этой статье мы разберемся, как пройти авторизацию в DAST-сканере с помощью прокси. Почему мы решили взяться за эту тему? Сейчас расскажем.
https://habr.com/ru/companies/swordfish_security/articles/811821/
#информационная_безопасность #безопасность_вебприложений #dast #сканер_уязвимостей #аутентификация #скрипт #проксирование
-
Идеальный кейс внедрения DevSecOps. Так бывает?
Привет, на связи отдел безопасной разработки СИГМЫ (ОБР). И хоть наша команда сформировалась относительно недавно, мы уже приобщились к «вечному» — а именно «противостоянию» разработки и безопасников. Если вы читаете эту статью, скорее всего такое знакомо и вам. Но иногда в этом взаимодействии формируются настоящие бриллианты. И сегодня речь пойдет как раз о таком кейсе.
https://habr.com/ru/companies/sigma/articles/808999/
#it_security #dast #sast #fuzzing #appsec #устранение_уязвимостей #безопасная_разработка #разработка_по #информационная_безопасность #devsecops
-
Идеальный кейс внедрения DevSecOps. Так бывает?
Привет, на связи отдел безопасной разработки СИГМЫ (ОБР). И хоть наша команда сформировалась относительно недавно, мы уже приобщились к «вечному» — а именно «противостоянию» разработки и безопасников. Если вы читаете эту статью, скорее всего такое знакомо и вам. Но иногда в этом взаимодействии формируются настоящие бриллианты. И сегодня речь пойдет как раз о таком кейсе.
https://habr.com/ru/companies/sigma/articles/808999/
#it_security #dast #sast #fuzzing #appsec #устранение_уязвимостей #безопасная_разработка #разработка_по #информационная_безопасность #devsecops
-
Идеальный кейс внедрения DevSecOps. Так бывает?
Привет, на связи отдел безопасной разработки СИГМЫ (ОБР). И хоть наша команда сформировалась относительно недавно, мы уже приобщились к «вечному» — а именно «противостоянию» разработки и безопасников. Если вы читаете эту статью, скорее всего такое знакомо и вам. Но иногда в этом взаимодействии формируются настоящие бриллианты. И сегодня речь пойдет как раз о таком кейсе.
https://habr.com/ru/companies/sigma/articles/808999/
#it_security #dast #sast #fuzzing #appsec #устранение_уязвимостей #безопасная_разработка #разработка_по #информационная_безопасность #devsecops
-
NightVision Raises $5.4 Million for Application Security Testing https://www.securityweek.com/nightvision-raises-5-4-million-for-application-security-testing/ #ApplicationSecurity #Funding/M&A #NightVision #seedstage #DAST
-
NightVision Raises $5.4 Million for Application Security Testing https://www.securityweek.com/nightvision-raises-5-4-million-for-application-security-testing/ #ApplicationSecurity #Funding/M&A #NightVision #seedstage #DAST
-
Плагины IDE — простой способ войти в безопасную разработку. Без регистрации и СМС
Разработчики используют плагины каждый день, и их функциональность призвана упростить разработку, например, автоматически проверять проставление всех специальных символов (таких как «;», «:») или соблюдение синтаксиса. Они буквально были созданы для того, чтобы разработчики прямо во время написания кода могли осуществить его проверку на уязвимости и сразу исправлять их, не выходя из IDE. Давайте разберемся, какие бывают плагины и как с ними работать? Читать
https://habr.com/ru/companies/pt/articles/796295/
#код #уязвимости #приложения #безопасная_разработка #devsecops #devops #анализатор_кода #ide #sast #dast
-
🔍 Are you in the midst of #WAF/ #WAAP research for your business in 2024?
Dive into our latest blog, which features the "Top 17 Web Application Firewalls (WAF) & API Protection Software in 2024."
Select the WAF/WAAP solution that best elevates your security stance. 🔐: https://bit.ly/3wdFlS3
#applicationsecurity #webapplicationfirewall #webapplications #apis #apisecurity #ddos #botattacks #cloudwaf #DAST #cdn #cybersecurity #apptrana #indusface
-
🔍 Are you in the midst of #WAF/ #WAAP research for your business in 2024?
Dive into our latest blog, which features the "Top 17 Web Application Firewalls (WAF) & API Protection Software in 2024."
Select the WAF/WAAP solution that best elevates your security stance. 🔐: https://bit.ly/3wdFlS3
#applicationsecurity #webapplicationfirewall #webapplications #apis #apisecurity #ddos #botattacks #cloudwaf #DAST #cdn #cybersecurity #apptrana #indusface
-
🔍 Are you in the midst of #WAF/ #WAAP research for your business in 2024?
Dive into our latest blog, which features the "Top 17 Web Application Firewalls (WAF) & API Protection Software in 2024."
Select the WAF/WAAP solution that best elevates your security stance. 🔐: https://bit.ly/3wdFlS3
#applicationsecurity #webapplicationfirewall #webapplications #apis #apisecurity #ddos #botattacks #cloudwaf #DAST #cdn #cybersecurity #apptrana #indusface
-
🔍 Are you in the midst of #WAF/ #WAAP research for your business in 2024?
Dive into our latest blog, which features the "Top 17 Web Application Firewalls (WAF) & API Protection Software in 2024."
Select the WAF/WAAP solution that best elevates your security stance. 🔐: https://bit.ly/3wdFlS3
#applicationsecurity #webapplicationfirewall #webapplications #apis #apisecurity #ddos #botattacks #cloudwaf #DAST #cdn #cybersecurity #apptrana #indusface
-
Безопасность DevOps. Автоматизация и новые инструменты
Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.
https://habr.com/ru/companies/globalsign/articles/782732/
#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps