#безопасная_разработка — Public Fediverse posts

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

[Перевод] ИИ против ИИ: кибербезопасность в эпоху мгновенного ПО

ИИ всё лучше находит уязвимости в коде — и всё лучше их закрывает. Те же самые технологии работают и за нападающих, и за защитников, и кто кого — пока открытый вопрос. Разбираем пять неизвестных, от которых зависит исход этой гонки, и заглядываем в мир, где программы создаются и удаляются на лету, а сети начинают чинить себя сами.

https://habr.com/ru/companies/cloud4y/articles/1029844/

#кибербезопасность #искусственный_интеллект #ИИ #уязвимости #поиск_уязвимостей #безопасная_разработка #вайбкодинг #MCP #Брюс_Шнайер #DRaaS

Когда pull request выглядит нормальным, но ревью на нём всё равно зависает

В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, но ревью всё чаще упирается не в синтаксис, а в попытку понять, что именно этот набор изменений делает с системой. В статье - почему обычного ревью уже не всегда хватает и как из этой проблемы вырос PRShield: рабочий MVP слоя, который помогает принимать решение перед мержем.

https://habr.com/ru/articles/1030810/

#code_review #pull_request #ревью_кода #AppSec #DevSecOps #AI_code_review #GitHub #LLM #безопасная_разработка #анализ_кода

Когда pull request выглядит нормальным, но ревью на нём всё равно зависает

В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, но ревью всё чаще упирается не в синтаксис, а в попытку понять, что именно этот набор изменений делает с системой. В статье - почему обычного ревью уже не всегда хватает и как из этой проблемы вырос PRShield: рабочий MVP слоя, который помогает принимать решение перед мержем.

https://habr.com/ru/articles/1030810/

#code_review #pull_request #ревью_кода #AppSec #DevSecOps #AI_code_review #GitHub #LLM #безопасная_разработка #анализ_кода

Когда pull request выглядит нормальным, но ревью на нём всё равно зависает

В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, но ревью всё чаще упирается не в синтаксис, а в попытку понять, что именно этот набор изменений делает с системой. В статье - почему обычного ревью уже не всегда хватает и как из этой проблемы вырос PRShield: рабочий MVP слоя, который помогает принимать решение перед мержем.

https://habr.com/ru/articles/1030810/

#code_review #pull_request #ревью_кода #AppSec #DevSecOps #AI_code_review #GitHub #LLM #безопасная_разработка #анализ_кода

Когда pull request выглядит нормальным, но ревью на нём всё равно зависает

В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, но ревью всё чаще упирается не в синтаксис, а в попытку понять, что именно этот набор изменений делает с системой. В статье - почему обычного ревью уже не всегда хватает и как из этой проблемы вырос PRShield: рабочий MVP слоя, который помогает принимать решение перед мержем.

https://habr.com/ru/articles/1030810/

#code_review #pull_request #ревью_кода #AppSec #DevSecOps #AI_code_review #GitHub #LLM #безопасная_разработка #анализ_кода

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp

Agentic SAMM — для тех кто не может без вайба

Пока с Уроборосом ловили посаженные Клодом в код RCE возникла идея спирали, «Шагов в бесконечности» и того чего не хватает в OWASP SAMM для агентного вайбинга. Встречайте ASAMM — расширение практик безопасной разработки для тех, кого Уроборос уже укусил за хвост. Главная идея: SDLC это не цикл, это спираль. Каждый виток возвращает вас в ту же фазу — проектирование, реализация, верификация — но система изменилась, инструменты изменились, и модель угроз должна меняться вместе с ними. Что внутри:

https://habr.com/ru/articles/1022300/

#sdlc #vibecoding #вайбкодинг #безопасность #безопасная_разработка #owasp

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

Подземелье и драконы: что общего между метро и разработкой

Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро! Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем. Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы. Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!

https://habr.com/ru/companies/pt/articles/921356/

#appsec #devsecops #подземка #метро #московское_метро #sast #dast #безопасная_разработка #dependency_check #copilot

Смешивать, но не взбалтывать. Как мы добавили Sec между Dev и Ops

Привет, Хабр! Меня зовут Натали Дуботолкова, я старший инженер по разработке безопасного программного обеспечения в Basis. Хочу рассказать о том, как мы задумались над интеграцией работы безопасников непосредственно в процесс разработки и к чему это привело, а также о том, какие методы и инструменты использовали в ходе интеграции и используем сейчас.

https://habr.com/ru/companies/basis/articles/869648/

#devops #devsecops #поиск_уязвимостей #безопасная_разработка #инструменты_тестирования #sast #dast #fuzzing #контейнеры

Реализация сервиса сканирования на основе OWASP ZAP

Для защиты цифровых активов организаций важно оперативно выявлять и устранять уязвимости. Инструменты оценки уязвимостей автоматизируют этот процесс, позволяя эффективно находить слабые места в системах и приложениях. Привет! Меня зовут Никита, я занимаюсь информационной безопасностью в RuStore. Сегодня расскажу о том, как мы создали свой сервис сканирования уязвимостей на базе OWASP ZAP, с какими трудностями столкнулись и какие подходы применили для их решения.

https://habr.com/ru/companies/vk/articles/829030/

#zap #dast #сканирование_уязвимостей #безопасность #безопасная_разработка #security #appsec #application_security #динамический_анализ

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

Out of the box: отчуждаемый механизм корреляции

В этой статье хотелось бы рассказать вам о том, как можно решить стандартную задачу информационной безопасности нестандартным способом, позаимствовав механизм из другого решения. Наверное, у большинства специалистов по ИБ слова «правила корреляции» и «корреляционный движок» прочно ассоциируются с таким классом решений, как SIEM. Вероятно, так сложилось потому, что именно там они и задействованы. Здесь же хочется показать вам, что существуют такие задачи в ИБ, решить которые можно не только привычным способом, но и в том числе с применением логики правил корреляции.

https://habr.com/ru/companies/securityvison/articles/926436/

#информационная_безопасность #информационные_технологии #безопасная_разработка #правила_корреляции #риски_иб #риски_бизнеса #асу_тп #sdlc #ueba

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Как мы профукали базу клиента и научились безопасности

Больше восьми лет я работал backend‑разработчиком. Мы создавали веб‑приложения для автоматизации логистики и закупок. Команда росла, процессы крепли. Всё было правильно и красиво: CI/CD, код‑ревью, споры о чистоте архитектуры и идеальном нейминге. Мир был прост, предсказуем и казалось, что так будет всегда. Но однажды утром всё изменилось. Что же случилось?

https://habr.com/ru/articles/959542/

#semgrep #dfd #DREAD #stride #безопасная_разработка

Куда нас вынесут большие технологические волны DevOps

В 1995 году с легкой руки Gartner в умах многих аналитиков по всему миру поселился новый термин — Gartner Hype Cycle. Как только не называли эту кривую: и цикл хайпа, и цикл зрелости, и цикл ожиданий. Но мне больше всего нравится представлять её в виде волн. Тогда в ней появляется глубокий образ — множество волн, которые в нашем технологическом мире переплетаются и рождают нашу повседневность. Привет, Хабр! Меня зовут Антон Черноусов. Я Developer Advocate в Yandex Cloud и многие годы веду подкаст «The Art Of Programming». Кривая Гартнера частенько помогает представить результаты прогнозов. Хотя прогнозы — дело неблагодарное. Особенно если мы попытаемся «заглянуть под капот» одной узкой сферы. Сегодня мы займемся неблагодарным делом и пристально посмотрим на мир DevOps.

https://habr.com/ru/companies/oleg-bunin/articles/887316/

#devops #gartner_hype_cycle #dora #datadog #ai #code_assistant #безопасная_разработка #облачные_провайдеры #platform_engineering #iac

7 проблем при создании СОИБ АСУ ТП в 2025 году

Так сложилось, что создание основной массы автоматизированных систем управления технологическим процессом (АСУ ТП) в нашей стране пришлось на конец XX века. И тогда ресурса, заложенного для полноценного функционирования и дальнейшего масштабирования, было вполне достаточно. То есть проблемы, с которыми мы сталкиваемся при проектировании систем обеспечения информационной безопасности (СОИБ), пришли со временем и являются результатом влияния изменений законодательства, морального устаревания оборудования, увеличения компетенций персонала и роста уровня цифровизации. Исходя из опыта последних реализованных проектов и текущих работ, мы выявили 7 «кругов» проблем, которые в данной статье постараемся закрыть.

https://habr.com/ru/companies/ussc/articles/921358/

#соиб #информационная_безопасность #кии #импортозамещение #нормативные_требования #законодательство #автоматизация #безопасная_разработка #асу_тп #технологическая_сеть

КИИ. Что это за зверь и надо ли нам его бояться

Всем привет! Меня зовут Елена Галата. Сегодня я бы хотела поговорить о том, что такое КИИ и как это понятие связано с компаниями, которые занимаются разработкой промышленного ПО. Я уже много лет в разработке и в последнее время занимаюсь приложениями, в основном связанными со сбором данных с различных приборов, АСУТП, и других информационных систем предприятий. Поскольку наши компоненты довольно часто работают в зоне критической инфраструктуры заказчиков, тема КИИ мне близка. Сама по себе это довольно обширная и сложная область, но я хотела бы затронуть ее небольшую часть, касающуюся разработки ПО.

https://habr.com/ru/companies/zyfra/articles/866230/

#информационная_безопасность #кии #securebydesign #критическая_инфраструктура #уязвимости #безопасная_разработка #безопасность #разработка_по #кибербезопасность #кибератаки

Безопасность без боли: плагины, которые упрощают жизнь разработчикам

Привет, меня зовут Владислав Феофилактов, я разработчик команды интеграции продукта PT Application Inspector. В этой статье вместе с коллегой Даниилом Бакиным мы расскажем о безопасной разработке приложений, подходе shift left и о том, как сделать жизнь разработчиков и AppSec-специалистов проще, а продукты — более защищенными. Мы разберем основные проблемы безопасной разработки и расскажем, как плагины для IDE помогают решать эти проблемы. Если вы хотите узнать, как упростить работу с уязвимостями и ускорить процесс разработки, смело заглядывайте под кат!

https://habr.com/ru/companies/pt/articles/892696/

#ide #плагины_разработка #безопасная_разработка #appsec #application_inspector #ptai #shiftleft #анализатор_кода #линтер #ci

[Перевод] MalTerminal: первый вирус, который пишет сам себя с помощью ИИ

🚨 MalTerminal: первый вирус, который пишет себя сам — с помощью GPT-4 Представьте: хакеру больше не нужно быть гением ассемблера. Достаточно написать в чат: «Создай вредонос, который обойдёт защиту Windows 11» — и через минуту получить готовый, уникальный, никогда не виданный антивирусами код. Это не сценарий из киберпанка. Это — MalTerminal . Первое в истории вредоносное ПО, которое использует GPT-4 не как помощника, а как мозг всей операции . Обнаружен он был исследователями SentinelOne — и сразу взорвал мозг экспертам по кибербезопасности. Почему? Потому что это конец эпохи сигнатур . Как это работает? MalTerminal не содержит в себе заранее написанного вредоносного кода. Вместо этого, прямо во время атаки он: Анализирует систему жертвы (ОС, защита, процессы), Формулирует запрос к GPT-4: «Напиши скрипт на Python, который отключит Defender и скачает шифровальщик» , Получает, исполняет — и удаляет следы. Ни сигнатур. Ни повторов. Только чистый, адаптивный хаос. Факт, от которого мурашки: в коде нашли ссылки на устаревший API OpenAI — значит, MalTerminal создали ещё до ноября 2023 года . Мы уже полтора года живём в новой реальности — просто не все это осознали. Это не атака. Это proof-of-concept. Пока MalTerminal не замечен в «дикой природе». Скорее всего, его создали red team для тестов или хакер-одиночка, чтобы показать: «Я могу» . Но сам факт, что это возможно — меняет всё. Что это значит для вас? Антивирусы устарели. Те, что ищут по сигнатурам — бесполезны. Поведенческие — пока держатся, но ненадолго. Барьер входа рухнул. Теперь вредоносный код может написать даже новичок. Главное — уметь правильно задать промпт. Атаки станут персональными. Вирус будет адаптироваться под вашу систему, ваши привычки — как bespoke-костюм, только с ножом в спине. Кто виноват? OpenAI? Пользователь? Платформа? Юридическая серая зона — огромная. 🛡️ Как защищаться? Забудьте про старые методы. Наступает эра AI vs AI . Защита должна: Смотреть на намерения , а не на код: что программа пытается сделать? Мониторить обращения к LLM : если софт вдруг начал активно общаться с GPT — это красный флаг. Быть проактивной : предсказывать, моделировать, учиться. Уже появляются решения вроде FalconShield — они анализируют, как и зачем программы используют ИИ. Это как детектор лжи для кода. Что дальше? Бизнес потратит миллиарды на новую защиту. Люди начнут бояться технологий — особенно если ИИ-вирусы доберутся до больниц и электросетей. Начнётся гонка ИИ-вооружений между государствами. Да, это звучит как «Терминатор». Но мы уже на этом пути. Главный вывод: MalTerminal — не просто вирус. Это предупреждение . ИИ стал оружием. И вопрос не в технологии — а в том, кто её использует и для чего . У нас ещё есть время адаптироваться. Вопрос — воспользуемся ли мы им? #кибербезопасность #ИИ #MalTerminal #GPT4 #вредоносноеПО #AIsecurity #SentinelOne #хакеры #антивирусы #будущеевотносило #OpenAI #LLM

https://habr.com/ru/articles/949920/

#искусственный_интеллект #вирусы #вирусный_анализ #вирусы_и_антивирусы #искусственный_интеллект_и_чатбот #безопасность #безопасность_в_сети #безопасность_данных #безопасная_разработка #безопасность_вебприложений

Анализ смарт-контрактов на примере Solidity

Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов безопасности, связанных с уязвимостями в смарт-контрактах. Согласно отчету Chainalysis, только в 2023 году потери от хакерских атак на DeFi-протоколы составили более 3.7 миллиардов долларов . История блокчейн-индустрии изобилует громкими случаями эксплуатации уязвимостей смарт-контрактов. Я Радда Юрьева, работаю в команде AppSec и вместе с коллегами из отдела Web3 исследую вопросы безопасности смарт-контрактов. В этой статье хочу поделиться нашим опытом анализа уязвимостей Solidity-кода и рассказать, какие подходы помогают находить и предотвращать ошибки на ранних этапах разработки Solidity-контрактов.

https://habr.com/ru/companies/pt/articles/936914/

#cybersecurity #machinelearning #smartcontract #уязвимости #смартконтракты #блокчейнтехнологии #defi #безопасный_код #безопасная_разработка #appsec

SVACE по-взрослому: как мы перенесли лицензирование в облако без костылей (ну или почти)

Привет, Хабр! Меня зовут Максим Сыропятов, я отвечаю в Arenadata за безопасную разработку. В этой статье расскажу, как мы перенесли систему лицензирования инструмента статического анализа SVACE в облако — без костылей, туннелей и физического железа. Поделюсь, какие ограничения нам пришлось обойти, зачем это вообще понадобилось и что дало такое решение в контексте безопасности и стабильности разработки. SVACE позволяет проводить углублённый анализ зависимостей функций и путей, через которые данные могут попасть в программу. Само решение и предлагаемый функционал вполне нас устраивают, но в то же время есть нюансы, связанные с системой лицензирования — по умолчанию лицензия приезжает на HASP-ключе . Мы подробно разберем процесс миграции в облако OEM-лицензии, трудностях, с которыми мы столкнулись, и преимуществах, которые это решение дало для тестирования и разработки. Как мы ушли от токена

https://habr.com/ru/companies/arenadata/articles/916202/

#devops #безопасная_разработка #svace #sentinel #docker #hasp #облачная_инфраструктура #виртуальная_машина #лицензирование #gitlab

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология