#dast — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #dast, aggregated by home.social.
-
Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться.
https://habr.com/ru/articles/1012034/
#blackbox #owasp #qa_automation #webприложения #appsec #dast
-
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
-
🎯 Kick off 2026 with OWASP London Training Days! Join Josh Grossman’s updated 2-Day training: Building a High-Value AppSec Scanning Programme (2026). Cut through SAST, DAST & SCA noise and deliver real AppSec value.📍 Secure your spot now: https://londonowasptrainingdays2025.sched.com/event/2CR8o
-
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
-
DevSecOps для всех: как развернуть стенд за 15 минут
Перед каждой презентацией одна и та же история: собираешь инфраструктуру вручную, молишься богам DevOps и придумываешь отговорки на случай внезапных багов. С DevSecOps особенно весело: мало установить сам продукт, нужен целый зоопарк из GitLab, Kubernetes, сканеров безопасности и систем управления уязвимостями. Поэтому мы собрали DevSecOps-песочницу, которая разворачивается одной кнопкой: подождал 15 минут — готово. Всё крутится на одной виртуальной машине с K3s, управляется через Terraform и Cloud-init, а главное — воспроизводится с гарантированным результатом. Расскажу, как устроено это решение, с какими проблемами столкнулись и почему без автоматизации инфраструктуры сегодня никуда. Над проектом работала команда из К2 Кибербезопасность: я, Максим Гусев, инженер по защите ИТ-инфраструктуры, и мои коллеги — Максим Виноградов и Александр Лысенко.
https://habr.com/ru/companies/k2tech/articles/970058/
#информационная_безопасность #devsecops #terraform #cloudinit #devops #container_security #sast #dast #sca #kaspersky
-
Manual DAST? That's so last decade, like debugging with print() statements and hoping for the best. 🙄 Automating DAST is no longer optional; it's crucial for baking security into your CI/CD without slowing down development.
Are your DAST tools keeping pace, or are they still living in the stone age, creating bottlenecks and developer headaches?
#DevSecOps #DAST #Automation #CI_CD #CyberSecurity #SoftwareDevelopment
https://www.artificialintelligence-news.com/news/the-engineers-guide-to-automating-dast-tools/ -
Разбираемся с IAST
Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений – IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.
-
Anyone have experience using the ZAP docker images to scan sites? I have a context file I’m feeding the full scan image but it appears to only scan the top level and not recurse. I can see it authenticating and running the checks, but it finds only 12 URLs whereas other scanners find 212. #dast #zaproxy
-
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
-
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
-
Still unsure of what ZAP does?
See this video..
https://youtu.be/yywD8ebNn6o
#zaproxy #dast #appsec -
Подземелье и драконы: что общего между метро и разработкой
Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро! Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем. Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы. Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!
https://habr.com/ru/companies/pt/articles/921356/
#appsec #devsecops #подземка #метро #московское_метро #sast #dast #безопасная_разработка #dependency_check #copilot
-
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
-
🛡️ Security Scanner for Web Applications
🔒 Privacy-First Security Analysis 👩💻 Built by Developers, for DevelopersTry it now: https://webscan.dev
-
Базовая настройка SAST и DAST для django в gitlab cicd: как быстро внедрить решения по безопасности
Привет, меня зовут Егор и я Tech Lead в компании ИдаПроджект :) Занимаюсь стратегией, процессами и командами в направлении backend разработки. Сегодня расскажу вам о базовой настройке SAST и DAST для django в gitlab cicd. В разработке использование SAST (Static Application Security Testing) и DAST (Dynamic Application Security Testing) в последние годы стало уже стандартом. На эту тему есть уже довольно много материала на habr, но я хочу сконцентрироваться на быстром и базовом внедрении решения по безопасности в следующий стек технологий: Infrastructure: Docker, Docker Compose, GitLab, GitLab CI/CD Backend: Python, Django с использованием Poetry Frontend: Vue.js, Nuxt.js Погнали!
-
Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops
Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и инструменты использовали в ходе интеграции и используем сейчас.
https://habr.com/ru/companies/basis/articles/869648/
#devops #devsecops #поиск_уязвимостей #безопасная_разработка #инструменты_тестирования #sast #dast #fuzzing #контейнеры
-
We have restarted the ZAP monthly blog posts: https://www.zaproxy.org/blog/2024-11-01-zap-updates-october-2024/
#zaproxy #appsec #dast -
Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов
Привет! На связи Олег Казаков из Spectr . В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps
-
Реализация сервиса сканирования на основе OWASP ZAP
Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.
https://habr.com/ru/companies/vk/articles/829030/
#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ
-
Do you use DAST from one of the many companies which build on top of ZAP but do not support us?
Please encourage them to support us now!
https://www.zaproxy.org/third-party-services/
#zaproxy #DAST #opensource -
It's taken me almost a year to write (and edit) my rant about categories and acronyms in cybersecurity. Which acronyms or categories annoy you the most? Security teams don't need more tools, they need efficient ways to mitigate risk and respond quickly to threats or attacks - especially now to keep up with faster development cycles.
https://www.techtarget.com/searchsecurity/opinion/Cloud-native-app-security-Ignore-acronyms-solve-problems
#cloudsecurity #applicationsecurity #appsec #cspm #sast #dast #iast #sca #sbom #ciem #asoc #dspm #aspm #cnapp #cdr #mdr #itdr #ndr #mdr #xdr #edr #cnapp #wapp #devsecops #cybersecurity #infosec #ciso #cso
