#безопасность_кода — Public Fediverse posts

Kodacode для бизнеса: SaaS с инфраструктурой в РФ и on-premise

Kodaсode используют десятки тысяч разработчиков в месяц. Постепенно запросы стали приходить не от отдельных людей, а от компаний: как оформить юридически, куда уходят данные из кодовой базы, есть ли централизованное управление доступами и корпоративный биллинг. Этой статьёй мы отвечаем на все эти вопросы — и рассказываем о нашем корпоративном предложении.

https://habr.com/ru/companies/koda/articles/1032118/

#KodaCode #AIассистент_для_разработчиков #корпоративный_AI #152ФЗ #инференс_в_России #безопасность_кода #SaaS_для_разработчиков #onpremise_AI #Ростелеком #замена_GitHub_Copilot

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

https://habr.com/ru/companies/bastion/articles/1031994/

#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

https://habr.com/ru/companies/bastion/articles/1031994/

#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

https://habr.com/ru/companies/bastion/articles/1031994/

#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

Троянский форк: от шалости до крита

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю. В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру. Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462 , BDU:2025-12463 , BDU:2025-12464 .

https://habr.com/ru/companies/bastion/articles/1031994/

#пентест #уязвимости #репозиторий #gitflic #контроль_доступа #безопасность_кода #защита_репозитория #supply_chain_attack #информационная_безопасность

Haiku обогнала Opus, а стартап Taalas впаял нейросеть в кремний

Самые интересные новости за неделю для практикующих инженеров: вайбкодер случайно получил доступ к 7 000+ пылесосам, вышли Sonnet 4.6 и Gemini 3.1 Pro, Haiku со скиллами обошла Opus без них, Claude Code Security и потеря $1,78 млн из-за кода от Claude.

https://habr.com/ru/companies/haulmont/articles/1003490/

#LLM #Claude #SkillsBench #MCP #безопасность_кода #реверсинженеринг #Clojure #вайбкодинг

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

RAII 2.0: RAII как архитектурный инструмент в C++

Идиома RAII — давно зарекомендовал себя как удобный способ автоматического управления ресурсами в C++. Обычно мы применяем его для управления памятью, файловыми дескрипторами или мьютексами. Однако что, если расширить понятие RAII до управления не только физическими ресурсами, но и логическими контрактами и состояниями системы? В этой статье я хочу поговорить о том, как RAII можно использовать для контроля жизненного цикла асинхронных операций, транзакций или подписок, гарантируя их корректное завершение или откат до прежнего состояния.

https://habr.com/ru/articles/901092/

#С++ #RAII #Жизненный_цикл #Подписки #Транзакции #Безопасность_кода #управление_ресурсами #паттерны #Логический_контракт

[Перевод] Ваш AI-ассистент уже слил ключи в облако?

Команда AI for Devs подготовила перевод статьи о том, как AI-ассистенты для написания кода одновременно ускоряют разработку и умножают риски. Исследование Apiiro показало: 4-кратный рост скорости сопровождается 10-кратным ростом уязвимостей. Вопрос открытый — готовы ли компании масштабировать не только продуктивность, но и риски?

https://habr.com/ru/articles/946918/

#безопасность_кода #уязвимости #архитектурные_ошибки #AI_coding_assistants

[Перевод] Как GitHub использует CodeQL для обеспечения безопасности

Что происходит, когда GitHub берётся за собственную безопасность? Они пишут код для защиты кода — и активно используют для этого CodeQL. В этой статье команда Product Security Engineering рассказывает, как настроить масштабный автоматический анализ уязвимостей, зачем создавать свои пакеты запросов и как с помощью CodeQL находить ошибки, которые невозможно поймать обычным поиском по коду.

https://habr.com/ru/companies/otus/articles/905630/

#CodeQL #github #безопасность_кода #уязвимости #GitHub_Advanced_Security #пакет_запросов #вариантный_анализ #cicd #анализ_уязвимостей

«Если бы LLM был сотрудником, его уволили бы через неделю»: техлид о реальности ИИ в разработке

Пока одни пророчат скорую замену всех программистов искусственным интеллектом, а другие скептически качают головой, Дмитрий Смирнов, основатель «Код Смирнов» и технический лидер, ежедневно работает с LLM в реальных проектах. В этом интервью он рассказал, почему мы находимся в «1994-м году развития интернета», как на самом деле использовать ИИ-инструменты безопасно, и почему обещания Сэма Альтмана — это «рекламные пугалки».

https://habr.com/ru/articles/938202/

#ии #ml #code_review #cursor #программисты #вайбкодинг #вайбпрограммирование #безопасность_кода #copilot #llm

Безопасность 1С: обзор уязвимостей и рекомендации по защите

В данной статье мы рассмотрим архитектуру 1С с точки зрения информационной безопасности: разберем характерные уязвимости, присущие различным вариантам подключения к системе, приведем примеры типовых сценариев атак, а также предложим практические меры по их предотвращению.

https://habr.com/ru/companies/ussc/articles/917074/

#безопасность_1с #уязвимости #защита_1с #ошибка_конфигурации #информационная_безопасность #безопасность_кода #толстый_клиент #тонкий_клиент #вебклиент_1с #мобильный_клиент

От контейнеров до кода: инструменты для поиска уязвимостей на все случаи

Всем привет Меня зовут Сергей. Работаю в небольшой компании. Помимо прочих обязанностей, также анализирую код и docker-образы, написанные нашими разработчиками, на предмет различных уязвимостей. В этой статье хотел бы поделиться нашими подходами и open-source инструментами, которыми я использую в своей работе. Быть может кто-то найдет что-то полезное или новое для себя. Найти что-то полезное или новое для себя

https://habr.com/ru/articles/910840/

#информационная_безопасность #уязвимости #безопасность_кода #SAST #DevOps #open_source #статический_анализ #сканеры_уязвимостей

Agile и информационная безопасность: проблемы и решения

В то время как Agile-разработка становится все более популярной, информационной безопасности становится все сложнее с ней взаимодействовать. Результатом этих проблем становится то, что новые системы оказываются незащищенными, либо в них используются наложенные средства для обеспечения безопасности. В этой статье мы рассмотрим, какие сложности возникают при использовании решений информационной безопасности в Agile. Но для начала рассмотрим, что из себя представляет методология Agile, и чем она отличается от классической Waterfall.

https://habr.com/ru/companies/otus/articles/902894/

#agile #waterfall #DevSecOps #Инкрементальная_разработка #SIEMсистемы #безопасность_кода