#рбпо — Public Fediverse posts

Поиск уязвимостей ПО: базовый минимум или роскошный максимум

Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING . Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки роскошным максимумом. Ориентироваться будем на 24 процесс ГОСТ Р 56939-2024 по разработке безопасного программного обеспечения (БРПО, РБПО, DevSecOps). Разбираемся

https://habr.com/ru/companies/aktiv-company/articles/1023888/

#анализ_уязвимостей #брпо #рбпо #devsecops #пентест #пентестинг #безопасная_разработка #журнал_безопасности #поиск_уязвимостей

Давайте заглянем в этот самый вайб-код

Начал появляться код тех самых навайбкоденных проектов, который изменит мир и т. д. Ну а мы начинаем потихоньку смотреть код этих проектов, в том числе и сквозь призму статического анализа.

https://habr.com/ru/companies/pvs-studio/articles/1012756/

#pvsstudio #машинное_обучение #говнокод #си #vibecoding #вайбкодинг #vibeos #информационная_безопасность #статический_анализ #рбпо

Давайте заглянем в этот самый вайб-код

Начал появляться код тех самых навайбкоденных проектов, который изменит мир и т. д. Ну а мы начинаем потихоньку смотреть код этих проектов, в том числе и сквозь призму статического анализа.

https://habr.com/ru/companies/pvs-studio/articles/1012756/

#pvsstudio #машинное_обучение #говнокод #си #vibecoding #вайбкодинг #vibeos #информационная_безопасность #статический_анализ #рбпо

Давайте заглянем в этот самый вайб-код

Начал появляться код тех самых навайбкоденных проектов, который изменит мир и т. д. Ну а мы начинаем потихоньку смотреть код этих проектов, в том числе и сквозь призму статического анализа.

https://habr.com/ru/companies/pvs-studio/articles/1012756/

#pvsstudio #машинное_обучение #говнокод #си #vibecoding #вайбкодинг #vibeos #информационная_безопасность #статический_анализ #рбпо

Давайте заглянем в этот самый вайб-код

Начал появляться код тех самых навайбкоденных проектов, который изменит мир и т. д. Ну а мы начинаем потихоньку смотреть код этих проектов, в том числе и сквозь призму статического анализа.

https://habr.com/ru/companies/pvs-studio/articles/1012756/

#pvsstudio #машинное_обучение #говнокод #си #vibecoding #вайбкодинг #vibeos #информационная_безопасность #статический_анализ #рбпо

250 критических замечаний, или Как мы нашли общий язык с разработчиками

Иногда работа идет по отлаженным процессам, но результат — вопреки ожиданиям и цитате, авторство которой приписывают то Эйнштейну, то Ваасу Монтенегро, — получается совершенно другим. И ты понимаешь, что процессы пора менять. В прошлой статье я рассказывала о том, какие подходы и инструменты мы используем в «Базисе» для реализации DevSecOps. Сегодня же хочу поделиться своим опытом выстраивания организационных процессов безопасной разработки.

https://habr.com/ru/companies/basis/articles/1002948/

#рбпо #безопасная_разработка #процессы #devsecops #поиск_уязвимостей #фаззингтестирование

РБПО и сертификация — от паники к процессу

Есть момент, когда компания внезапно понимает: «мы уже не стартап на коленке, у нас продукт, клиенты, релизы, ответственность - и, кажется, пора взрослеть». Вот примерно там и появляется РБПО - разработка безопасного программного обеспечения. В выпуске CrossCheck говорят: РБПО - не «для галочки» и не «для регулятора» . Это про то, чтобы выжить в реальности, где код растёт, команды меняются, а рынок всё чаще спрашивает: «а вы вообще понимаете, из чего и как собраны ваши решения?».

https://habr.com/ru/companies/ctsg/articles/991782/

#рбпо #безопасная_разработка #сертификация #devops #devsecops

Регуляторика РБПО. Итоги 2025 года

Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами по-прежнему Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Спойлер: читать придется немного!

https://habr.com/ru/companies/swordfish_security/articles/977764/

#законодательство #информационная_безопасность #гост #нормативные_требования #безопасность_приложений #безопасная_разработка #devsecops #рбпо #регуляторика #требования_регуляторов

Аутсорсинг и приказ ФСТЭК №117, теория РБПО, инструменты

Этот текст для компаний, занимающихся аутсорсом и аутстаффингом. Продвигая статический анализ кода в целом и инструмент PVS-Studio в частности, мы отдельно не выделяем компании этой направленности. Сейчас, в связи с вступлением в силу 1 марта 2026 года приказа №117, всё немного по-другому.

https://habr.com/ru/companies/pvs-studio/articles/967928/

#гост_р_56939 #гост_р_569392024 #фстэк #фстэк_россии #рбпо #аутсорсинг #аутсорсинг_разработки #аутстаффинг #pvsstudio #разработка_приложений

Что на самом деле дороже: безопасная разработка или ликвидация последствий уязвимостей?

Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security. На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры: сколько стоит защитить приложение на каждом этапе жизненного цикла и сколько обходится исправление последствий после инцидента.

https://habr.com/ru/companies/swordfish_security/articles/960900/

#рбпо #разработка #безопасная_разработка #devsecops #иб

Безопасность приложений: инструменты и практики для Java-разработчиков

Тема безопасной разработки программного обеспечения интересует всё большее количество разработчиков и руководителей. Дополнительным стимулом стал вышедший в конце 2024 года обновлённый ГОСТ Р 56939, в котором описано 25 процессов (мер) для построения безопасной разработки. Это хороший список, но что он означает на практике, например, для Java-разработчиков? Поговорим о сути некоторых процессов и инструментарии. Статья является переработкой совместного вебинара компаний ООО "ПВС" и АО "АКСИОМ". Текстовый вариант содержит дополнительные ссылки, а некоторые моменты рассмотрены более подробно. Полную запись вебинара доступна здесь: " Безопасность приложений: инструменты и практики для Java-разработчиков ". Статья построена так же, как и вебинар: первую часть подготовил Андрей Карпов, затем слово передаётся Алексею Захарову ( @AlexZ0 ).

https://habr.com/ru/companies/axiomjdk/articles/936864/

#Java #гост_р_56939 #гост_р_569392024 #пвс #pvsstudio #axiomjdk #аксиом #рбпо #axiom_jdk #разработка_безопасного_по

Пользовательские аннотации PVS-Studio теперь и в Java

Начиная с версии PVS-Studio 7.38, Java анализатор вслед за двумя братьями C# и C++ поддерживает пользовательские аннотации в формате JSON. Зачем они нужны и что с ними можно делать, рассмотрим в этой статье.

https://habr.com/ru/companies/pvs-studio/articles/935922/

#static_analysis #java #pvsstudio #sast #статический_анализ #информационная_безопасность #гост_569392024 #гост_569392016 #рбпо #брпо

Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)

ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio разрабатывается с учётом этого стандарта и позволяет выявлять все типы критических ошибок в коде программ, написанных на языках C, C++, C#, Java. Рассмотрим эти типы предупреждений и как их можно выделить среди других предупреждений, выдаваемых анализатором.

https://habr.com/ru/companies/pvs-studio/articles/919456/

#pvsstudio #статический_анализ_кода #фстэк #гост_р_712072024 #C #C++ #c# #java #рбпо #программирование

Необходимость статического анализа для РБПО на примере 190 багов в TDengine

Одна из важнейших составляющих безопасной разработки программного обеспечения — это статический анализ кода. Он позволяет выявить ошибки и потенциальные уязвимости на ранних этапах разработки ПО, что сокращает стоимость их исправления. Но что ещё важнее, он позволяет выявить те проблемы и дефекты безопасности, о которых разработчики даже не подозревают.

https://habr.com/ru/companies/pvs-studio/articles/907674/

#рбпо #статический_анализ_кода #sast #информационная_безопасность #iot #iot_разработка #pvsstudio #ГОСТ_Р_569392024 #гост_р_56939 #гост_р_712072024 #разработка_безопасного_по #TDengine

Регуляторика РБПО. Часть 5 – Ответственность, взгляд в будущее, инфографика всего обзора

Приветы после долгого перерыва! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Сегодня в завершающей статье по Регуляторике РБПО: - напомним о применимой законодательной ответственности, - расскажем, что сейчас в проектах у регуляторов на 2025 год, а что уже есть нового утвержденного, - покажем майндкарты регуляторики. В конце будет розыгрыш мерча, который обещали в 1 части 😊

https://habr.com/ru/companies/swordfish_security/articles/905168/

#безопасная_разработка #безопасность_приложений #регуляторика #devsecops #рбпо #гост #нормативные_требования #законодательство #требования_регуляторов #информационная_безопасность

РБПО на конвейере: как Hantis избавляет исследователя от рутины

Команда направления безопасности разработки программного обеспечения «Базальт СПО» создала инструмент, позволяющий минимизировать рутинные операции при проведении РБПО-исследований. Конвейер автоматизации Hantis был представлен на ТБ Форуме 2024 , а теперь мы рассказываем о нем и здесь.

https://habr.com/ru/companies/basealtspo/articles/889892/

#hantis #basealt #alt_linux #рбпо #конвейер_автоматизации #статистический_анализ #фаззинг #linux #альт #базальт_спо

РБПО на конвейере: как Hantis избавляет исследователя от рутины

Команда направления безопасности разработки программного обеспечения «Базальт СПО» создала инструмент, позволяющий минимизировать рутинные операции при проведении РБПО-исследований. Конвейер автоматизации Hantis был представлен на ТБ Форуме 2024 , а теперь мы рассказываем о нем и здесь.

https://habr.com/ru/companies/basealtspo/articles/889892/

#hantis #basealt #alt_linux #рбпо #конвейер_автоматизации #статистический_анализ #фаззинг #linux #альт #базальт_спо

РБПО на конвейере: как Hantis избавляет исследователя от рутины

Команда направления безопасности разработки программного обеспечения «Базальт СПО» создала инструмент, позволяющий минимизировать рутинные операции при проведении РБПО-исследований. Конвейер автоматизации Hantis был представлен на ТБ Форуме 2024 , а теперь мы рассказываем о нем и здесь.

https://habr.com/ru/companies/basealtspo/articles/889892/

#hantis #basealt #alt_linux #рбпо #конвейер_автоматизации #статистический_анализ #фаззинг #linux #альт #базальт_спо

РБПО на конвейере: как Hantis избавляет исследователя от рутины

Команда направления безопасности разработки программного обеспечения «Базальт СПО» создала инструмент, позволяющий минимизировать рутинные операции при проведении РБПО-исследований. Конвейер автоматизации Hantis был представлен на ТБ Форуме 2024 , а теперь мы рассказываем о нем и здесь.

https://habr.com/ru/companies/basealtspo/articles/889892/

#hantis #basealt #alt_linux #рбпо #конвейер_автоматизации #статистический_анализ #фаззинг #linux #альт #базальт_спо

PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения)

Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024, выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения. Рассмотрим функциональные возможности, реализованные в PVS-Studio на конец 2024 года в отношении анализа исходного кода программного обеспечения, написанного на компилируемых языках программирования C, C++, C#, Java.

https://habr.com/ru/companies/pvs-studio/articles/868578/

#pvsstudio #информационная_безопасность #статический_анализ_кода #ГОСТ_Р_712072024 #ГОСТ_Р_71207 #ГОСТ_Р_56939 #SAST #c #c++ #java #c# #си #си++ #static_code_analysis #анализ_программы #анализ_потоков_данных #контекстночувствительный_анализ #критические_ошибки #CWE #SARIF #РБПО #разработка_безопасного_ПО #использование_чувствительных_данных

Использование статических анализаторов кода при разработке безопасного ПО

Как часто анализировать проект? Сколько анализаторов использовать? Как размечать полученные предупреждения? Отвечаем на эти и другие вопросы, разбираясь в подробностях свежего ГОСТ Р 71207-2024, посвящённого статическому анализу.

https://habr.com/ru/companies/pvs-studio/articles/854248/

#ГОСТ_Р_71207–2024 #РБПО #Критическая_ошибка #ГОСТ_Р_56939–2016 #Информационная_безопасность #Статический_анализ

ГОСТ Р 71207–2024 глазами разработчика статических анализаторов кода

1 апреля 2024 года введён в действие новый ГОСТ "Статический анализ программного обеспечения". Если в ГОСТ Р 56939–2016 говорится о необходимости использования статического анализа при разработке безопасного программного обеспечения (РБПО), то ГОСТ Р 71207–2024 уточняет, что именно это означает. В стандарте: перечислены требования к инструментам статического анализа; указано, какие ошибки они должны находить; какие технологии использовать; описан порядок внедрения в процесс разработки; описан процесс регулярного использования; и так далее. Информация в ГОСТ очень плотная, и её тяжело сразу воспринять, если вы ранее не имели дело со статическим анализом кода и РБПО. Поэтому я подготовил и провёл цикл из 5 вебинаров, где разобрал различные аспекты ГОСТ и примерами пояснил некоторых термины. Вебинары вытекают один из другого, но в принципе они достаточно независимые, и вы можете начать знакомиться с новым ГОСТ с просмотра любого из них. Но обо всём по порядку.

https://habr.com/ru/companies/pvs-studio/articles/844070/

#статический_анализ #статический_анализ_ПО #ГОСТ #ГОСТ_Р_71207–2024 #ГОСТ_Р_56939–2016 #РБПО #pvsstudio #информационная_безопасность #критические_ошибки #вебинары #вебинары_для_разработчиков #вебинары_по_инфобезопасности #C++ #C# #Java