#ssdlc — Public Fediverse posts

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

Взгляд безопасника на ежегодный отчет Github Octoverse 2025

Взгляд безопасника на ежегодный отчет Github Octoverse 2025. Отчет 2025 выглядит как вестник новой реальности, где ИИ в разработке будет отведена ключевая роль. Постарался дать пару советов для безопасников которых ждет такое значимое изменение подходов. Давай почитаем!

https://habr.com/ru/articles/963774/

#ии #github #ssdlc #codeql

До 100 релизов в день. Как мы ускорили процесс разработки

Привет! Меня зовут Илья, я директор департамента разработки в ЮMoney. За каждым малозаметным обновлением может стоять месяц работы: проработка архитектуры, дизайна, код-ревью и множество проверок безопасности. В ЮMoney мы смогли совместить тщательный контроль с бешеной скоростью — и делаем до 100 релизов в день. Расскажу, как мелкие задачи спасают от больших рисков и что помогает нам «катиться» быстрее.

https://habr.com/ru/companies/yoomoney/articles/955930/

#разработка #релиз #автоматизация #декомпозиция_задач #кодревью #безопасность #ssdlc #финтех

OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений

В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на ранних этапах и помогают предотвращать потенциальные атаки. Одним из наиболее распространенных инструментов для обучения и практического тестирования защищённости веб-приложений является OWASP ZAP (Zed Attack Proxy). Этот бесплатный и открытый сканер безопасности широко применяется как профессионалами, так и начинающими специалистами для поиска уязвимостей в веб-приложениях. Освоение работы с OWASP ZAP рекомендуется не только инженерам по информационной безопасности, но и разработчикам, DevOps-специалистам и тестировщикам, заинтересованным в создании по-настоящему безопасных сервисов. В Security Vision мы поддерживаем безопасность в том числе и данным инструментом, а также используем для сравнения результатов сканирования в режиме pentest наших скриптов по OWASP top 10. В данной работе рассматривается практический подход к использованию OWASP ZAP для аудита безопасности веб-приложений. Материал предназначен для студентов, разработчиков и всех, кто хочет освоить современные инструменты безопасной разработки.

https://habr.com/ru/companies/securityvison/articles/950398/

#ssdlc #zap #owasp_zap

I'm happy to announce the release of a new open-source library we've been working on: Go library for structure-aware fuzzing, designed as an analogue to libprotobuf-mutator. Fuzz your gRPC APIs and integrate into SSDLC.

https://github.com/yandex-cloud/go-protobuf-mutator

#fuzzing #go #grpc #ssdlc

Несколько правил организации багатона по кибербезопасности

Привет! Это Маша из AppSec Альфа-Банка. Недавно мы провели первый (для себя) багатон по кибербезопасности, прошедший при совместной работе ИТ, AppSec, команд Внутрикома и DevRel. Главными целями были пропаганда безопасной разработки и сближение разработчиков и команды AppSec. Расскажем, как мы спланировали и провели мероприятие, чтобы оно стало не только полезным, но и запомнилось командам разработки.

https://habr.com/ru/companies/alfa/articles/895956/

#альфабанк #безопасная_разработка #appsec #безопасность #ssdlc #багатон

Как решить проблему уязвимостей бизнес-логики? Поломать приложение еще до написания кода

Всем привет. Меня зовут Нияз Кашапов, я AppSec Lead в СберМаркете. Улучшаю процессы безопасной разработки уже более 5 лет. Начинал карьеру в финтехе, где занимался безопасностью кода, фич и бизнес-процессов в онлайн-банкинге. А сейчас продолжаю начатое в одном из самых быстрорастущих игроков на рынке e-com. Думаю, у многих в практике встречалась уязвимость, которую просто так не пофиксить — ведь она заложена глубоко внутри разрабатываемого решения, обвешана кучей зависимостей и требует полного ребилда самого решения. Чаще всего такие уязвимости остаются в проде навсегда и удерживаются от «падения» множеством костылей. Возникает резонный вопрос: «Как они возникли?» Чаще всего ответ — «Так исторически сложилось», а истоки проблемы давно забыты. Боролься с таким лучше превентивно, а как это сделать — попробую рассказать в этой статье. Поговорим о том, как избегать ситуаций, когда уязвимость заложена на уровне архитектуры или бизнес-процесса и её исправление может стоить множество человеко-часов. Разберемся, когда фича становится багом и как прорабатывать архитектуру сервисов, не создавая дыры безопасности.

https://habr.com/ru/companies/sbermarket/articles/821037/

#application_security #безопасная_разработка #system_design #ssdlc

Приглашаем на двухдневную онлайн-конференцию для IT-специалистов в финтехе

Ежегодная бесплатная онлайн-конференция ЮMoney Day пройдёт в пятый раз и продлится два дня — 1 и 2 декабря. Вас ждут 18 докладов по 13-ти разным направлениям , среди которых — бэкенд, фронтенд, архитектура, тестирование, DevOps, SQL и другие. Посмотреть программу

https://habr.com/ru/companies/yoomoney/articles/775730/

#devops #openapi #sql #архитектура #менеджмент_проектов #системный_анализ #ssdlc #data_governance #sso

@hack_lu and having a #SDLC or #SSDLC also introduced as a mitigation

#OpenSource ist nicht per se schlecht. Und "kommerzielle Software" nicht per se sicher. Wissen viele aus eigener Erfahrung, gibt's aber jetzt auch in Studienform.

Und bei #FOSS kann man den Code anschauen und sieht, ob die Leute Ahnung von defensiver Programmierung etc. haben. Und sieht vielleicht sogar, dass ein sicherer Softwareentwicklungsprozess #SSDLC eingehalten oder zumindest angestrebt wird. Bei #ClosedSource fehlt diese Einsicht.
https://www.heise.de/news/Studie-Proprietaere-Software-kann-nicht-sicherer-sein-als-Open-Source-9226451.html

A lightweight approach to implement SSDLC (Secure Software Development LifeCycle).

https://www.anshumanbhartiya.com/posts/secure-sdlc

#security #cybersecurity #appsec #applicationsecurity #productsecurity #devsecops #devops #cicd #riskassessment #sdlc #ssdlc #threatmodel

https://int3.substack.com/p/stuff-for-the-stash-week-49

Hot of the press, this week's edition of Stuff for the Stash, covering #automotivesecurity , #windowsdebugging, #windowssandbox, #hypervisor , #bootloader , #pwn2own, #fuzzing , #ssdlc, #5g , #securitytools and more #cybersecurity

Retoots for reach strongly appreciated !

Software security scanner market today is now mature enough to have its own jargon, built largely by vendor marketing teams. As such, it's primarily designed to help you get rid of your infosec budget rather than help you design a reasonable security assurance architecture. This is first part of series that looks at SAST and DAST advantages and limitations. #infosec #software #sast #dast #iast #rasp #ssdlc #security https://krvtz.net/posts/making-sense-of-the-sast-dast-iast-rasp-soup-1.html