home.social

#sast — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #sast, aggregated by home.social.

  1. Ok, so this is bad, right? But the original group was pretty much a big list of false positives and unexploitable bugs. Is this one different? And scuttlebutt?

    securityweek.com/anthropic-myt

    #mythos #sast

  2. Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

    Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

    habr.com/ru/companies/sourcecr

    #sast #безопасность #статистический_анализ #ии

  3. Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

    Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

    habr.com/ru/companies/sourcecr

    #sast #безопасность #статистический_анализ #ии

  4. Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

    Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

    habr.com/ru/companies/sourcecr

    #sast #безопасность #статистический_анализ #ии

  5. Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

    Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

    habr.com/ru/companies/sourcecr

    #sast #безопасность #статистический_анализ #ии

  6. ICYMI: Software Security: Critical Practices for Clean Code #shorts: These four code practices make up a significant portion of overall security. It breaks it down so companies get credit for resolving criticals in one category. It doesn't even mention mediums here, which more mature companies address. #security #code #SAST #SCA #software youtube.com/shorts/0vyOZmM2zVc

  7. SAST scanner with AI: Permissions are missing in your app manifest. Please add the android:readPermission and android:writePermission permissions settings. Exported = "false" isn't enough; someone could accidentally change it! #ai #sast #appsec #security

  8. SAST scanner with AI: Permissions are missing in your app manifest. Please add the android:readPermission and android:writePermission permissions settings. Exported = "false" isn't enough; someone could accidentally change it! #ai #sast #appsec #security

  9. SAST scanner with AI: Permissions are missing in your app manifest. Please add the android:readPermission and android:writePermission permissions settings. Exported = "false" isn't enough; someone could accidentally change it! #ai #sast #appsec #security

  10. SAST scanner with AI: Permissions are missing in your app manifest. Please add the android:readPermission and android:writePermission permissions settings. Exported = "false" isn't enough; someone could accidentally change it! #ai #sast #appsec #security

  11. SAST scanner with AI: Permissions are missing in your app manifest. Please add the android:readPermission and android:writePermission permissions settings. Exported = "false" isn't enough; someone could accidentally change it! #ai #sast #appsec #security

  12. Software Security: Critical Practices for Clean Code #shorts: These four code practices make up a significant portion of overall security. It breaks it down so companies get credit for resolving criticals in one category. It doesn't even mention mediums here, which more mature companies address. #security #code #SAST #SCA #software youtube.com/shorts/0vyOZmM2zVc

  13. Software Security: Critical Practices for Clean Code #shorts: These four code practices make up a significant portion of overall security. It breaks it down so companies get credit for resolving criticals in one category. It doesn't even mention mediums here, which more mature companies address. #security #code #SAST #SCA #software youtube.com/shorts/0vyOZmM2zVc

  14. Software Security: Critical Practices for Clean Code #shorts: These four code practices make up a significant portion of overall security. It breaks it down so companies get credit for resolving criticals in one category. It doesn't even mention mediums here, which more mature companies address. #security #code #SAST #SCA #software youtube.com/shorts/0vyOZmM2zVc

  15. Software Security: Critical Practices for Clean Code #shorts: These four code practices make up a significant portion of overall security. It breaks it down so companies get credit for resolving criticals in one category. It doesn't even mention mediums here, which more mature companies address. #security #code #SAST #SCA #software youtube.com/shorts/0vyOZmM2zVc

  16. Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

    Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

    habr.com/ru/articles/1032532/

    #cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

  17. Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

    Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

    habr.com/ru/articles/1032532/

    #cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

  18. Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

    Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

    habr.com/ru/articles/1032532/

    #cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

  19. Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

    Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

    habr.com/ru/articles/1032532/

    #cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

  20. Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

    Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

    habr.com/ru/articles/1032514/

    #java #плагин #cicd #gitlabci #sast

  21. Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

    Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

    habr.com/ru/articles/1032514/

    #java #плагин #cicd #gitlabci #sast

  22. Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

    Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

    habr.com/ru/articles/1032514/

    #java #плагин #cicd #gitlabci #sast

  23. Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

    Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

    habr.com/ru/articles/1032514/

    #java #плагин #cicd #gitlabci #sast

  24. А сейчас я покажу, откуда на вайбкод готовилось нападение

    Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

    habr.com/ru/companies/ruvds/ar

    #безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

  25. А сейчас я покажу, откуда на вайбкод готовилось нападение

    Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

    habr.com/ru/companies/ruvds/ar

    #безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

  26. А сейчас я покажу, откуда на вайбкод готовилось нападение

    Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

    habr.com/ru/companies/ruvds/ar

    #безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

  27. А сейчас я покажу, откуда на вайбкод готовилось нападение

    Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

    habr.com/ru/companies/ruvds/ar

    #безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

  28. Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

    EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

    #rp #fiveM #gtav #wildlife #beachpatrol #sast

  29. Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

    EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

    #rp #fiveM #gtav #wildlife #beachpatrol #sast

  30. Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

    EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

    #rp #fiveM #gtav #wildlife #beachpatrol #sast

  31. Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

    EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

    #rp #fiveM #gtav #wildlife #beachpatrol #sast

  32. Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

    EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

    #rp #fiveM #gtav #wildlife #beachpatrol #sast

  33. Поговорим о планировании внедрения DevSecOps

    DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps как к системному изменению: с чего начать, как выбрать пилот, какие цели ставить и где чаще всего всё идёт не так. Разобраться в теме

    habr.com/ru/companies/otus/art

    #инфобез #devsecops #безопасность_разработки #SAST #уязвимости #автоматизация_безопасности

  34. Поговорим о планировании внедрения DevSecOps

    DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps как к системному изменению: с чего начать, как выбрать пилот, какие цели ставить и где чаще всего всё идёт не так. Разобраться в теме

    habr.com/ru/companies/otus/art

    #инфобез #devsecops #безопасность_разработки #SAST #уязвимости #автоматизация_безопасности

  35. Поговорим о планировании внедрения DevSecOps

    DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps как к системному изменению: с чего начать, как выбрать пилот, какие цели ставить и где чаще всего всё идёт не так. Разобраться в теме

    habr.com/ru/companies/otus/art

    #инфобез #devsecops #безопасность_разработки #SAST #уязвимости #автоматизация_безопасности

  36. Поговорим о планировании внедрения DevSecOps

    DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps как к системному изменению: с чего начать, как выбрать пилот, какие цели ставить и где чаще всего всё идёт не так. Разобраться в теме

    habr.com/ru/companies/otus/art

    #инфобез #devsecops #безопасность_разработки #SAST #уязвимости #автоматизация_безопасности

  37. Many Thanks to Claudio Merloni for presenting his talk: "The Great #SAST Dissonance: How To Please Every Audience At Scale" at our April 14th event.

    The video recording of the talk is now available on the #OWASPLondon YouTube Channel:
    👇
    youtube.com/watch?v=BBDFd4CzWik

  38. Many Thanks to Claudio Merloni for presenting his talk: "The Great #SAST Dissonance: How To Please Every Audience At Scale" at our April 14th event.

    The video recording of the talk is now available on the #OWASPLondon YouTube Channel:
    👇
    youtube.com/watch?v=BBDFd4CzWik

  39. Many Thanks to Claudio Merloni for presenting his talk: "The Great #SAST Dissonance: How To Please Every Audience At Scale" at our April 14th event.

    The video recording of the talk is now available on the #OWASPLondon YouTube Channel:
    👇
    youtube.com/watch?v=BBDFd4CzWik

  40. Many Thanks to Claudio Merloni for presenting his talk: "The Great #SAST Dissonance: How To Please Every Audience At Scale" at our April 14th event.

    The video recording of the talk is now available on the #OWASPLondon YouTube Channel:
    👇
    youtube.com/watch?v=BBDFd4CzWik

  41. #CGTN:
    "
    China launches new satellite for high-precision greenhouse gas monitoring
    "
    ".. Long March-4C .. blasted off at 12:10 p.m. (Beijing Time) carrying the satellite into a preset orbit. .. satellite is equipped with five advanced instruments, .."

    news.cgtn.com/news/2026-04-17/

    17.4.2026

    #China #CZ4C #DAQI2 #DQ2 #EO #Erdbeobachtung #JSLC #GreenhouseGas #LM4C #Lidar #Raumfahrt #SAST #Satelliten #SpaceFlight #Treibhausgas #Umweltsatellit

  42. #CGTN:
    "
    China launches new satellite for high-precision greenhouse gas monitoring
    "
    ".. Long March-4C .. blasted off at 12:10 p.m. (Beijing Time) carrying the satellite into a preset orbit. .. satellite is equipped with five advanced instruments, .."

    news.cgtn.com/news/2026-04-17/

    17.4.2026

    #China #CZ4C #DAQI2 #DQ2 #EO #Erdbeobachtung #JSLC #GreenhouseGas #LM4C #Lidar #Raumfahrt #SAST #Satelliten #SpaceFlight #Treibhausgas #Umweltsatellit

  43. #CGTN:
    "
    China launches new satellite for high-precision greenhouse gas monitoring
    "
    ".. Long March-4C .. blasted off at 12:10 p.m. (Beijing Time) carrying the satellite into a preset orbit. .. satellite is equipped with five advanced instruments, .."

    news.cgtn.com/news/2026-04-17/

    17.4.2026

    #China #CZ4C #DAQI2 #DQ2 #EO #Erdbeobachtung #JSLC #GreenhouseGas #LM4C #Lidar #Raumfahrt #SAST #Satelliten #SpaceFlight #Treibhausgas #Umweltsatellit

  44. #CGTN:
    "
    China launches new satellite for high-precision greenhouse gas monitoring
    "
    ".. Long March-4C .. blasted off at 12:10 p.m. (Beijing Time) carrying the satellite into a preset orbit. .. satellite is equipped with five advanced instruments, .."

    news.cgtn.com/news/2026-04-17/

    17.4.2026

    #China #CZ4C #DAQI2 #DQ2 #EO #Erdbeobachtung #JSLC #GreenhouseGas #LM4C #Lidar #Raumfahrt #SAST #Satelliten #SpaceFlight #Treibhausgas #Umweltsatellit

  45. #CGTN:
    "
    China launches new satellite for high-precision greenhouse gas monitoring
    "
    ".. Long March-4C .. blasted off at 12:10 p.m. (Beijing Time) carrying the satellite into a preset orbit. .. satellite is equipped with five advanced instruments, .."

    news.cgtn.com/news/2026-04-17/

    17.4.2026

    #China #CZ4C #DAQI2 #DQ2 #EO #Erdbeobachtung #JSLC #GreenhouseGas #LM4C #Lidar #Raumfahrt #SAST #Satelliten #SpaceFlight #Treibhausgas #Umweltsatellit