home.social

#безопасность_приложений — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #безопасность_приложений, aggregated by home.social.

  1. Habr @[email protected] ·

    Утопали в дефектах, пока собирали «единое окно»

    «У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

    habr.com/ru/companies/bastion/

    #aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

    #безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc
  2. Habr @[email protected] ·

    Утопали в дефектах, пока собирали «единое окно»

    «У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

    habr.com/ru/companies/bastion/

    #aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

    #безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc
  3. Habr @[email protected] ·

    Утопали в дефектах, пока собирали «единое окно»

    «У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

    habr.com/ru/companies/bastion/

    #aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

    #безопасность_приложений #управление_уязвимостями #ai_в_кибербезопасности #информационная_безопасность #безопасная_разработка #ssdlc
  4. Habr @[email protected] ·

    Утопали в дефектах, пока собирали «единое окно»

    «У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

    habr.com/ru/companies/bastion/

    #aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

    #aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность
  5. Habr @[email protected] ·

    Как мы в CodeScoring модель для поиска секретов готовили

    Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM.

    habr.com/ru/companies/codescor

    #secrets #security #ml #ai #codescoring #llm #безопасность #безопасность_приложений #секреты #devsecops

    #devsecops #секреты #безопасность_приложений #безопасность #llm #codescoring
  6. Habr @[email protected] ·

    Nginx за барной стойкой: три кейса, когда прокси спасает ситуацию

    Привет, Хабр! На связи Аскар Добряков, ведущий эксперт направления защиты данных и приложений в

    habr.com/ru/companies/k2tech/a

    #nginx #waf #authentication #безопасность_приложений #прокси #cachecontrol

    #cachecontrol #прокси #безопасность_приложений #authentication #waf #nginx
  7. Habr @[email protected] ·

    Voters в Symfony

    Привет, Хабр! В каждом проекте рано или поздно появляется логика вида «этот пользователь может редактировать этот пост, а тот нет». И начинается: if ($post->getAuthor() === $currentUser) в контроллерах, в сервисах, в шаблонах. Копипаста расползается, а потом приходит новое требование — «модератор тоже может редактировать, но только в своей категории» — и вы бегаете по двадцати файлам, молясь, что ничего не забыли. Symfony Voters — механизм, который выносит всю логику авторизации в одно место. Не аутентификации (тип кто ты?), а именно авторизации (что тебе можно?). Разберём, как это работает. Разобраться в Voter

    habr.com/ru/companies/otus/art

    #symfony #Voter #авторизация #права_доступа #безопасность_приложений #PHP #роли_пользователей #access_control #архитектура_приложения #бизнеслогика

    #бизнеслогика #архитектура_приложения #access_control #роли_пользователей #php #безопасность_приложений
  8. Habr @[email protected] ·

    Voters в Symfony

    Привет, Хабр! В каждом проекте рано или поздно появляется логика вида «этот пользователь может редактировать этот пост, а тот нет». И начинается: if ($post->getAuthor() === $currentUser) в контроллерах, в сервисах, в шаблонах. Копипаста расползается, а потом приходит новое требование — «модератор тоже может редактировать, но только в своей категории» — и вы бегаете по двадцати файлам, молясь, что ничего не забыли. Symfony Voters — механизм, который выносит всю логику авторизации в одно место. Не аутентификации (тип кто ты?), а именно авторизации (что тебе можно?). Разберём, как это работает. Разобраться в Voter

    habr.com/ru/companies/otus/art

    #symfony #Voter #авторизация #права_доступа #безопасность_приложений #PHP #роли_пользователей #access_control #архитектура_приложения #бизнеслогика

    #бизнеслогика #архитектура_приложения #access_control #роли_пользователей #php #безопасность_приложений
  9. Habr @[email protected] ·

    Voters в Symfony

    Привет, Хабр! В каждом проекте рано или поздно появляется логика вида «этот пользователь может редактировать этот пост, а тот нет». И начинается: if ($post->getAuthor() === $currentUser) в контроллерах, в сервисах, в шаблонах. Копипаста расползается, а потом приходит новое требование — «модератор тоже может редактировать, но только в своей категории» — и вы бегаете по двадцати файлам, молясь, что ничего не забыли. Symfony Voters — механизм, который выносит всю логику авторизации в одно место. Не аутентификации (тип кто ты?), а именно авторизации (что тебе можно?). Разберём, как это работает. Разобраться в Voter

    habr.com/ru/companies/otus/art

    #symfony #Voter #авторизация #права_доступа #безопасность_приложений #PHP #роли_пользователей #access_control #архитектура_приложения #бизнеслогика

    #бизнеслогика #архитектура_приложения #access_control #роли_пользователей #php #безопасность_приложений
  10. Habr @[email protected] ·

    Voters в Symfony

    Привет, Хабр! В каждом проекте рано или поздно появляется логика вида «этот пользователь может редактировать этот пост, а тот нет». И начинается: if ($post->getAuthor() === $currentUser) в контроллерах, в сервисах, в шаблонах. Копипаста расползается, а потом приходит новое требование — «модератор тоже может редактировать, но только в своей категории» — и вы бегаете по двадцати файлам, молясь, что ничего не забыли. Symfony Voters — механизм, который выносит всю логику авторизации в одно место. Не аутентификации (тип кто ты?), а именно авторизации (что тебе можно?). Разберём, как это работает. Разобраться в Voter

    habr.com/ru/companies/otus/art

    #symfony #Voter #авторизация #права_доступа #безопасность_приложений #PHP #роли_пользователей #access_control #архитектура_приложения #бизнеслогика

    #symfony #voter #авторизация #права_доступа #безопасность_приложений #php
  11. Habr @[email protected] ·

    Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

    #системные_вызовы #ограничение_прав #безопасность_приложений #sandboxing #linux #песочница_приложений
  12. Habr @[email protected] ·

    Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

    #системные_вызовы #ограничение_прав #безопасность_приложений #sandboxing #linux #песочница_приложений
  13. Habr @[email protected] ·

    Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

    #системные_вызовы #ограничение_прав #безопасность_приложений #sandboxing #linux #песочница_приложений
  14. Habr @[email protected] ·

    Linux Landlock — песочница для приложений без root

    Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

    habr.com/ru/companies/otus/art

    #Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

    #landlock #песочница_приложений #linux #sandboxing #безопасность_приложений #ограничение_прав
  15. Habr @[email protected] ·

    Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности

    Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В этой статье мы рассмотрим основные категории инструментов безопасности приложений: DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), SCA (Software Composition Analysis) и IAST/RASP (Interactive/Runtime Application Security Protection). Мы разберем их назначение, преимущества и недостатки, а также предоставим список бесплатных инструментов, которые можно интегрировать в вашу инфраструктуру разработки.

    habr.com/ru/articles/988468/

    #безопасность_вебприложений #безопасность_сайтов #безопасность #безопасность_приложений #сканирование #уязвимости #инструменты_для_вебразработки #инструменты_мониторинга #инструменты #инструменты_хакера

    #инструменты_хакера #инструменты #инструменты_мониторинга #инструменты_для_вебразработки #уязвимости #сканирование
  16. Habr @[email protected] ·

    Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности

    Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В этой статье мы рассмотрим основные категории инструментов безопасности приложений: DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), SCA (Software Composition Analysis) и IAST/RASP (Interactive/Runtime Application Security Protection). Мы разберем их назначение, преимущества и недостатки, а также предоставим список бесплатных инструментов, которые можно интегрировать в вашу инфраструктуру разработки.

    habr.com/ru/articles/988468/

    #безопасность_вебприложений #безопасность_сайтов #безопасность #безопасность_приложений #сканирование #уязвимости #инструменты_для_вебразработки #инструменты_мониторинга #инструменты #инструменты_хакера

    #инструменты_хакера #инструменты #инструменты_мониторинга #инструменты_для_вебразработки #уязвимости #сканирование
  17. Habr @[email protected] ·

    Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности

    Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В этой статье мы рассмотрим основные категории инструментов безопасности приложений: DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), SCA (Software Composition Analysis) и IAST/RASP (Interactive/Runtime Application Security Protection). Мы разберем их назначение, преимущества и недостатки, а также предоставим список бесплатных инструментов, которые можно интегрировать в вашу инфраструктуру разработки.

    habr.com/ru/articles/988468/

    #безопасность_вебприложений #безопасность_сайтов #безопасность #безопасность_приложений #сканирование #уязвимости #инструменты_для_вебразработки #инструменты_мониторинга #инструменты #инструменты_хакера

    #инструменты_хакера #инструменты #инструменты_мониторинга #инструменты_для_вебразработки #уязвимости #сканирование
  18. Habr @[email protected] ·

    Введение в DAST, SAST, SCA, IAST и RASP: Гид по инструментам безопасности

    Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC). В этой статье мы рассмотрим основные категории инструментов безопасности приложений: DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), SCA (Software Composition Analysis) и IAST/RASP (Interactive/Runtime Application Security Protection). Мы разберем их назначение, преимущества и недостатки, а также предоставим список бесплатных инструментов, которые можно интегрировать в вашу инфраструктуру разработки.

    habr.com/ru/articles/988468/

    #безопасность_вебприложений #безопасность_сайтов #безопасность #безопасность_приложений #сканирование #уязвимости #инструменты_для_вебразработки #инструменты_мониторинга #инструменты #инструменты_хакера

    #безопасность_вебприложений #безопасность_сайтов #безопасность #безопасность_приложений #сканирование #уязвимости
  19. Habr @[email protected] ·

    Что показали в OWASP Top Ten 2025

    Привет, Хабр! Меня зовут Дмитрий Бахтенков. С 2020 я занимаюсь коммерческой разработкой на .NET, а также пишу для медиа « вАЙТИ ». В сфере информационной безопасности существует множество уязвимостей, и разработчикам сложно понять, какие из них важнее учитывать при обучении или отладке процессов безопасной разработки.

    habr.com/ru/companies/beeline_

    #информационная_безопасность #owasp #уязвимости #appsec #безопасность_приложений #контроль_доступа #software_supply_chain_security #devsecops

    #devsecops #software_supply_chain_security #контроль_доступа #безопасность_приложений #appsec #уязвимости
  20. Habr @[email protected] ·

    Регуляторика РБПО. Итоги 2025 года

    Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Спойлер: читать придется немного!

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка #devsecops #рбпо #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #рбпо #devsecops #безопасная_разработка #безопасность_приложений
  21. Habr @[email protected] ·

    Регуляторика РБПО. Итоги 2025 года

    Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Спойлер: читать придется немного!

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка #devsecops #рбпо #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #рбпо #devsecops #безопасная_разработка #безопасность_приложений
  22. Habr @[email protected] ·

    Регуляторика РБПО. Итоги 2025 года

    Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Спойлер: читать придется немного!

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка #devsecops #рбпо #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #рбпо #devsecops #безопасная_разработка #безопасность_приложений
  23. Habr @[email protected] ·

    Регуляторика РБПО. Итоги 2025 года

    Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Спойлер: читать придется немного!

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка #devsecops #рбпо #регуляторика #требования_регуляторов

    #законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка
  24. Habr @[email protected] ·

    Регуляторика РБПО. Часть 5 – Ответственность, взгляд в будущее, инфографика всего обзора

    Приветы после долгого перерыва! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Сегодня в завершающей статье по Регуляторике РБПО: - напомним о применимой законодательной ответственности, - расскажем, что сейчас в проектах у регуляторов на 2025 год, а что уже есть нового утвержденного, - покажем майндкарты регуляторики. В конце будет розыгрыш мерча, который обещали в 1 части 😊

    habr.com/ru/companies/swordfis

    #безопасная_разработка #безопасность_приложений #регуляторика #devsecops #рбпо #гост #нормативные_требования #законодательство #требования_регуляторов #информационная_безопасность

    #безопасная_разработка #безопасность_приложений #регуляторика #devsecops #рбпо #гост
  25. Habr @[email protected] ·

    ОУД4 — быстрый и удобный способ проведения оценки соответствия для финансовых организаций

    Всем привет! Совсем недавно, 29 марта 2025 года, вступило в силу Положение банка России № 851-П, заменяющее Положение № 683-П. Одним из ключевых изменений документа является появление условий проведения оценки соответствия. В связи с этим в ближайшее время ожидается повышение спроса на проведение оценки соответствия по требованиям ОУД4. Эта статья содержит основные понятия, связанные с ОУД4, краткое описание требований регулятора и необходимых документированных свидетельств оценки и будет полезна аудиторам, разработчикам, менеджерам, а также всем тем, кто интересуется законодательством в ИБ. Будет здорово получить от вас обратную связь и конструктивную критику!

    habr.com/ru/articles/896124/

    #оуд4 #безопасность_приложений #финансовые_организации

    #оуд4 #безопасность_приложений #финансовые_организации
  26. Habr @[email protected] ·

    AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

    К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

    habr.com/ru/companies/ussc/art

    #информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы #безопасность_приложений #appsec #атаки #управление_рисками_иб

    #управление_рисками_иб #атаки #appsec #безопасность_приложений #оркестраторы #облачные_технологии
  27. Habr @[email protected] ·

    AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

    К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

    habr.com/ru/companies/ussc/art

    #информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы #безопасность_приложений #appsec #атаки #управление_рисками_иб

    #управление_рисками_иб #атаки #appsec #безопасность_приложений #оркестраторы #облачные_технологии
  28. Habr @[email protected] ·

    AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

    К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

    habr.com/ru/companies/ussc/art

    #информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы #безопасность_приложений #appsec #атаки #управление_рисками_иб

    #управление_рисками_иб #атаки #appsec #безопасность_приложений #оркестраторы #облачные_технологии
  29. Habr @[email protected] ·

    AppSec 2025: тренды, которые будут популярны, и методы, которые уйдут в прошлое

    К 2025 году безопасность приложений перестает быть просто технической необходимостью — она становится стратегическим приоритетом для бизнеса. С ростом облачных технологий, искусственного интеллекта и постоянной автоматизации процессов эволюционируют и угрозы, а традиционные методы защиты не всегда эффективны. В этой статье мы обсудим тренды в AppSec, которые будут задавать тон в 2025 году, а также рассмотрим практики, которые утратят свою актуальность.

    habr.com/ru/companies/ussc/art

    #информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы #безопасность_приложений #appsec #атаки #управление_рисками_иб

    #информационная_безопасность #безопасность_вебприложений #безопасная_разработка #нормативные_требования #облачные_технологии #оркестраторы
  30. Habr @[email protected] ·

    Spring Boot Filter. Введение в фильтрацию запросов

    Привет, меня зовут Николай Пискунов , я руководитель направления Big Data и автор медиа вАЙТИ . В этой статье поговорим о фильтрации запросов.

    habr.com/ru/companies/beeline_

    #spring_boot #фильтрация_запросов #backend #логирование #безопасность_приложений #http #middleware #производительность_приложений #обработка_данных #архитектура_приложений

    #архитектура_приложений #обработка_данных #производительность_приложений #middleware #http #безопасность_приложений
  31. Habr @[email protected] ·

    Небезопасная десериализация в PHP: Как создать собственный эксплойт

    Привет, Хабр! Сегодня мы познакомимся с уязвимостями небезопасной десериализации в PHP, научимся писать эксплойты для эксплуатации уязвимости в рамках тестирований на проникновение и попробуем себя в анализе кода.

    habr.com/ru/companies/jetinfos

    #php #кибербезопасность #уязвимости #десериализация #пентестинг #эксплойты #rce #phar #инъекция #безопасность_приложений

    #php #кибербезопасность #уязвимости #десериализация #пентестинг #эксплойты
  32. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  33. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  34. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  35. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка
  36. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  37. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  38. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений #нормативные_документы
  39. Habr @[email protected] ·

    Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

    Привет, эксперты! Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

    habr.com/ru/companies/swordfis

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов

    #информационная_безопасность #требования_законодательства #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка
  40. Habr @[email protected] ·

    Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

    Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов #требования_законодательства

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка
  41. Habr @[email protected] ·

    Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

    Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов #требования_законодательства

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка
  42. Habr @[email protected] ·

    Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

    Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов #требования_законодательства

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка
  43. Habr @[email protected] ·

    Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

    Доброго дня, уважаемые! Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

    habr.com/ru/companies/swordfis

    #законодательство #информационная_безопасность #нормативные_требования #нормативные_документы #безопасность_приложений #безопасная_разработка #devsecops #регуляторика #требования_регуляторов #требования_законодательства

    #требования_законодательства #требования_регуляторов #регуляторика #devsecops #безопасная_разработка #безопасность_приложений
  44. Habr @[email protected] ·

    Что значит «SafeCode»: о чём расскажут на конференции по безопасности приложений

    «Безопасный код» — понятие широкое. Так что по названию онлайн-конференции

    habr.com/ru/companies/jugru/ar

    #safecode #безопасность_приложений #application_security #appsec

    #safecode #безопасность_приложений #application_security #appsec
  45. Habr @[email protected] ·

    Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

    Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли. Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

    habr.com/ru/companies/swordfis

    #законодательство #безопасная_разработка #информационная_безопасность #гост #нормативные_требования #нормативные_документы #безопасность_приложений #требования_регуляторов #регуляторика #devsecops

    #законодательство #безопасная_разработка #информационная_безопасность #гост #нормативные_требования #нормативные_документы
  46. Habr @[email protected] ·

    Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

    Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли. Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

    habr.com/ru/companies/swordfis

    #законодательство #безопасная_разработка #информационная_безопасность #гост #нормативные_требования #нормативные_документы #безопасность_приложений #требования_регуляторов #регуляторика #devsecops

    #законодательство #безопасная_разработка #информационная_безопасность #гост #нормативные_требования #нормативные_документы
  47. Habr @[email protected] ·

    Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

    Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли. Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

    habr.com/ru/companies/swordfis

    #законодательство #безопасная_разработка #информационная_безопасность #гост #нормативные_требования #нормативные_документы #безопасность_приложений #требования_регуляторов #регуляторика #devsecops

    #devsecops #регуляторика #требования_регуляторов #безопасность_приложений #нормативные_документы #нормативные_требования
  48. Habr @[email protected] ·

    Регуляторика РБПО. Часть 1 – Введение. Общие требования

    Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.

    habr.com/ru/companies/swordfis

    #безопасная_разработка #регуляторика #законодательство #нормативные_требования #нормотворчество #безопасность_приложений #информационная_безопасность #гост #нормативные_документы #требования_регуляторов

    #требования_регуляторов #нормативные_документы #гост #информационная_безопасность #безопасность_приложений #нормотворчество
  49. Habr @[email protected] ·

    Регуляторика РБПО. Часть 1 – Введение. Общие требования

    Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.

    habr.com/ru/companies/swordfis

    #безопасная_разработка #регуляторика #законодательство #нормативные_требования #нормотворчество #безопасность_приложений #информационная_безопасность #гост #нормативные_документы #требования_регуляторов

    #требования_регуляторов #нормативные_документы #гост #информационная_безопасность #безопасность_приложений #нормотворчество
  50. Habr @[email protected] ·

    Регуляторика РБПО. Часть 1 – Введение. Общие требования

    Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.

    habr.com/ru/companies/swordfis

    #безопасная_разработка #регуляторика #законодательство #нормативные_требования #нормотворчество #безопасность_приложений #информационная_безопасность #гост #нормативные_документы #требования_регуляторов

    #безопасная_разработка #регуляторика #законодательство #нормативные_требования #нормотворчество #безопасность_приложений