#безопасная_разработка_приложений — Public Fediverse posts

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Безопасная сборка Docker-образов в CI: пошаговая инструкция

Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность . Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет разработку, деплой приложений, сокращает time to market. Автоматизация — незаменимый сегодня процесс, который при этом открывает отличные лазейки и для киберугроз. Далеко не все задумываются, кому и какие доступы раздают и к каким последствиям это может привести. Поэтому без учета кибербезопасности здесь появляются дополнительные риски инцидентов. В этой статье я поэтапно разобрал пример сборки Docker-образов в GitLab CI пайплайнах с учетом баланса между безопасностью автоматизированной разработки и скоростью процесса.

https://habr.com/ru/companies/k2tech/articles/914014/

#кибербезопасность #информационная_безопасность #devops #devsecops #разработка_приложений #деплой #docker_образы #gitlab_ci #безопасная_разработка #безопасная_разработка_приложений

Безопасная сборка Docker-образов в CI: пошаговая инструкция

Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность . Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет разработку, деплой приложений, сокращает time to market. Автоматизация — незаменимый сегодня процесс, который при этом открывает отличные лазейки и для киберугроз. Далеко не все задумываются, кому и какие доступы раздают и к каким последствиям это может привести. Поэтому без учета кибербезопасности здесь появляются дополнительные риски инцидентов. В этой статье я поэтапно разобрал пример сборки Docker-образов в GitLab CI пайплайнах с учетом баланса между безопасностью автоматизированной разработки и скоростью процесса.

https://habr.com/ru/companies/k2tech/articles/914014/

#кибербезопасность #информационная_безопасность #devops #devsecops #разработка_приложений #деплой #docker_образы #gitlab_ci #безопасная_разработка #безопасная_разработка_приложений

Безопасная сборка Docker-образов в CI: пошаговая инструкция

Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность . Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет разработку, деплой приложений, сокращает time to market. Автоматизация — незаменимый сегодня процесс, который при этом открывает отличные лазейки и для киберугроз. Далеко не все задумываются, кому и какие доступы раздают и к каким последствиям это может привести. Поэтому без учета кибербезопасности здесь появляются дополнительные риски инцидентов. В этой статье я поэтапно разобрал пример сборки Docker-образов в GitLab CI пайплайнах с учетом баланса между безопасностью автоматизированной разработки и скоростью процесса.

https://habr.com/ru/companies/k2tech/articles/914014/

#кибербезопасность #информационная_безопасность #devops #devsecops #разработка_приложений #деплой #docker_образы #gitlab_ci #безопасная_разработка #безопасная_разработка_приложений

Безопасная сборка Docker-образов в CI: пошаговая инструкция

Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность . Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет разработку, деплой приложений, сокращает time to market. Автоматизация — незаменимый сегодня процесс, который при этом открывает отличные лазейки и для киберугроз. Далеко не все задумываются, кому и какие доступы раздают и к каким последствиям это может привести. Поэтому без учета кибербезопасности здесь появляются дополнительные риски инцидентов. В этой статье я поэтапно разобрал пример сборки Docker-образов в GitLab CI пайплайнах с учетом баланса между безопасностью автоматизированной разработки и скоростью процесса.

https://habr.com/ru/companies/k2tech/articles/914014/

#кибербезопасность #информационная_безопасность #devops #devsecops #разработка_приложений #деплой #docker_образы #gitlab_ci #безопасная_разработка #безопасная_разработка_приложений

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Сертификация и безопасная разработка: простым языком

Так как мы уже начали эту тему и рассказали вам про процесс SCA, настало время поговорить о том, как именно тестируется исходный код приложений и сами приложения с точки зрения безопасности. Как и в прошлый раз, это статья для безопасников, которым по каким-то причинам нужно поддержать разговор про SSDL – безопасную разработку.

https://habr.com/ru/companies/securityvison/articles/901650/

#сертификация #безопасная_разработка #безопасная_разработка_приложений #статика #динамика #проверка_кода #информационная_безопасность #информационные_технологии #тестирование_по #тестирование_приложений

Угрозы безопасности в DevOps: как интегрировать ИБ в процесс разработки?

По мере того, как компании переходят на практику DevOps для ускорения разработки и развертывания программного обеспечения, они неизбежно сталкиваются с множеством угроз информационной безопасности. Слияние процессов разработки (Dev) и эксплуатации (Ops) направлено на улучшение взаимодействия, повышение эффективности сокращение сроков осуществления проектов. Однако такой быстрый темп может невольно привести к уязвимостям, если информационная безопасность не будет эффективно внедрена в жизненный цикл DevOps.

https://habr.com/ru/articles/872788/

#devsecops #безопасная_разработка #безопасная_разработка_приложений #cicd

Обеспечение безопасности при разработке ПО — проблемы конвейеров CI/CD и способы предотвращения угроз

Безопасность — критический аспект в разработке программного обеспечения, сам факт внедрения которого устраняет проектировочные ошибки, снижает затраты и сосредотачивает команду на использовании надежных методологий. Поделюсь нашим опытом интеграции его инструментов в создание софта (на примере корпоративного менеджера паролей ОдинКлюч ) и проблемами, которые возникают на этом пути.

https://habr.com/ru/articles/851392/

#безопасная_разработка #безопасная_разработка_приложений #ci/cd #ci/cdконвейер #ci/cd_gitlab

Поиск уязвимостей в исходном коде с помощью ручного статического анализа

Ручной анализ исходного кода – это проверка кода на наличие уязвимостей и проблем, связанных с бизнес-логикой, которую выполняет квалифицированный специалист. Выполнять анализа кода вручную можно «в лоб», просматривая весь код от начала и до конца, или придерживаться определенного подхода — например, определив сначала поверхность атаки. Поверхность атаки программного обеспечения (ПО) — совокупность интерфейсов и реализующих их модулей ПО, посредством прямого или косвенного использования которых могут реализовываться угрозы безопасному функционированию ПО. Для определения поверхности атаки обычно используются статические анализаторы исходного кода. Однако обнаружить уязвимости можно с помощью ручного статического анализа. В статье рассмотрим, какие есть основные этапы обнаружения уязвимостей при ручном статическом анализе, на что обязательно стоит обратить внимание.

https://habr.com/ru/companies/ussc/articles/805031/

#информационная_безопасность #безопасная_разработка #безопасная_разработка_приложений #анализ_уязвимостей #безопасность_по #статический_анализ #анализ_кода #ручной_анализ_кода

Как найти поверхность атаки незнакомых приложений с помощью Natch

Поиск ошибок в программах дело творческое и интересное. Чаще всего мы ищем ошибки в своём коде, чтобы его починить. Кто-то может искать ошибки в чужом коде, чтобы его сломать или поучастовать в баунти-программе. А вот где именно искать ошибки? Какие функции тестировать? Хорошо, если программа полностью ваша. Но что если вы занимаетесь тестированием, а эти программисты постоянно придумывают что-то новое? Никаких рук не напасёшься. Как хоть немного автоматизировать процесс?

https://habr.com/ru/companies/isp_ras/articles/788490/

#natch #qemu #безопасная_разработка_приложений #фаззинг #поверхность_атаки #sdlc

Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»

Рассмотрим требования к безопасности информации в средствах контейнеризации, указанные в Выписке из Приказа ФСТЭК России №118 «Требования по безопасности информации к средствам контейнеризации» , приведем разъяснения к каждому требованию. Также в статье проанализируем техническую реализацию требований Приказа ФСТЭК России №118 на примере ОС Astra Linux Special Edition и программные механизмы реализации в среде ОС.

https://habr.com/ru/companies/ussc/articles/803485/

#технология_контейнеризации #микросервисная_архитектура #информационная_безопасность #безопасная_разработка #безопасная_разработка_приложений #приказ_Фстэк_№118 #контейнеры