Когда я начал разбираться, чем в мире опенсорса можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в проде не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах он начинает захлёбываться, и тебе просто больше не хочется заходить, а аналогов с человеческим видом и БДУ ФСТЭК «из коробки» в опенсорсе я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose upЧитать полностью »
Рубрика «appsec»
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
2026-05-10 в 13:16, admin, рубрики: air-gapped, appsec, asoc, DefectDojo, DevSecOps, Go, on-premise, postgresql, vulnerability management, БДУ ФСТЭККогда pull request выглядит нормальным, но ревью на нём всё равно зависает
2026-05-03 в 10:15, admin, рубрики: AI code review, appsec, code review, DevSecOps, github, llm, pull request, анализ кода, безопасная разработка, ревью кодаПоводом для этого проекта был не абстрактный интерес к AI и не желание сделать ещё один инструмент для ревью.
На одном из рабочих проектов довольно быстро стало видно, что на pull request уже нельзя смотреть по старой модели. Команда начала двигаться в сторону AI-first разработки. В продукт стало прилетать больше изменений от людей с очень разной глубиной контекста: часть работала рядом с продуктом, часть приходила из смежных команд, часть собиралась с активной помощью AI. Скорость изменений выросла. А вот глубина понимания конкретной зоны у автора PR часто, наоборот, стала ниже.
Анализ смарт-контрактов на примере Solidity
2025-10-22 в 8:55, admin, рубрики: appsec, cybersecurity, DeFi, machinelearning, smartcontract, безопасная разработка, безопасный код, уязвимости
Блокчейн-индустрия переживает период беспрецедентного роста. Общая стоимость заблокированных активов (total value locked, TVL) в децентрализованных финансовых протоколах превышала 200 млрд долларов по состоянию на 2024 год [1Читать полностью »
Как я создала аккаунт с именем «NULL» и мне стали приходить уведомления о покупке доменов другими пользователями
2025-10-09 в 18:12, admin, рубрики: appsec, bugbounty, pentest, qa, securityДисклеймер: Статья носит исключительно информационный характер и не является инструкцией или призывом к совершению противоправных действий. Мы здесь все учимся и делимся историями.
Всем привет. Меня зовут Аня (SavAnna) я работаю AppSec в компании ATI.SU и как хобби занимаюсь багбаунти. Багбаунти - отличный способ отдохнуть от своих сервисов и сменить фокус с "защиты" на "нападение". Не всегда баги ищутся целенаправленно - иногда это происходит случайно. Хочу показать, что много странных и простых багов может найти каждый.
В качестве предисловия и благодарности:
34 минуты до взлома: почему миру всегда будут нужны ИБ специалисты
2025-09-18 в 9:56, admin, рубрики: appsec, compliance, DevSecOps, SOC-аналитик, взлом, ИБ, информационная безопасность, искусственный интеллект, пентестер, хакерствоЗнаете, сколько времени нужно, чтобы взломать типичную российскую компанию? В среднем — меньше суток, а рекорд составил 34 минуты. Меньше, чем уходит на обед. Это данные недавнего эксперимента белых хакеров (пентестеров): они протестировали 74 компании и в двух из трёх случаях получили полный доступ. В 60% атак последствия были критичными: остановка бизнес-процессов, шифрование данных или кража средств.
Рынок кибербезопасности в России сегодня стремительно меняется: уходят западные вендоры, компании латают инфраструктуру, а хакеры используют всё — от дыр в коде до генеративного ИИ. И одно остаётся стабильным: Читать полностью »
Почему анализ защищенности Java Script нельзя по настоящему автоматизировать?
2017-09-05 в 16:13, admin, рубрики: appsec, javascript, jsfuck, SAST, xss, информационная безопасность, обфускацияПочему в случае JavaScript приходится обходиться простыми подходами статического анализа, когда есть более интересные подходы к автоматическому анализу кода?
В ответ на этот вопрос, мой коллега Алексей Гончаров kukumumu ответил лаконично: «Java Script это панковский язык» и кинул ссылку на статью Jasper Cashmore «A Javascript journey with only six characters», которая действительно погружает нас в путешествие в эзотерический мир JSFuck и сразу все ставит на свои места.
Мне настолько понравилось, что я решил перевести статью на русский язык.
Читать полностью »