Рубрика «безопасная разработка»

в 13:15, , рубрики: dfd, DREAD, semgrep, stride, безопасная разработка

Пост о том, как в нашу компанию пришла безопасность. История показывает наши первые шаги и что нас заставило их сделать.

Утечка: утро, которое всё изменило

Больше восьми лет я работал backend‑разработчиком. Мы создавали веб‑приложения для автоматизации логистики и закупок.

Команда росла, процессы крепли. Всё было правильно и красиво: CI/CD, код‑ревью, споры о чистоте архитектуры и идеальном нейминге. Мир был прост, предсказуем и казалось, что так будет всегда. Но однажды утром всё изменилось.

Я проснулся от назойливо вибрирующего телефона. Экран мигал именем ПМа.
Читать полностью »

в 8:55, , рубрики: appsec, cybersecurity, DeFi, machinelearning, smartcontract, безопасная разработка, безопасный код, уязвимости
Анализ смарт-контрактов на примере Solidity - 1

Блокчейн-индустрия переживает период беспрецедентного роста. Общая стоимость заблокированных активов (total value locked, TVL) в децентрализованных финансовых протоколах превышала 200 млрд долларов по состоянию на 2024 год [1Читать полностью »

в 10:59, , рубрики: claude, dataset, gpt-4, large language model, llm, reasoning, безопасная разработка, искусственный интеллект, промптинг, уязвимый исходный код

в 11:17, , рубрики: DevSecOps, devsecops as a service, devsecops services, SAST, безопасная разработка, информационная безопасность, код, Программирование

Я раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить».
Каждый день у меня был один и тот же диалог:

  • Тимлид: «У нас релиз в пятницу, отстань со своим сканированием».

  • Менеджер: «В бюджете только Jira и пицца, какие ещё 15 миллионов за софт?»

  • Разработчик: «Код сгенерил AI, билд прошёл, значит, всё норм».

Читать полностью »

в 19:15, , рубрики: безопасная разработка, безопасность, безопасность в сети, безопасность веб-приложений, безопасность данных, вирусный анализ, вирусы, искусственный интеллект, искусственный интеллект и чат-бот
MalTerminal: первый вирус, который пишет сам себя с помощью ИИ - 1

Представьте: хакеру больше не нужно сидеть ночами, вылизывая строчки кода для нового вируса. Достаточно открыть чат с ИИ и написать: «Сделай мне вредоносную программу, которая обойдёт защиту Windows 11 и зашифрует файлы»Читать полностью »

в 8:57, , рубрики: AI, code assistant, DataDog, devops, gartner hype cycle, iac, platform engineering, безопасная разработка, облачные провайдеры

В 1995 году с легкой руки Gartner в умах многих аналитиков по всему миру поселился новый термин — Gartner Hype Cycle. Как только не называли эту кривую: и цикл хайпа, и цикл зрелости, и цикл ожиданий. Но мне больше всего нравится представлять её в виде волн. Тогда в ней появляется глубокий образ — множество волн, которые в нашем технологическом мире переплетаются и рождают нашу повседневность.

Привет! Меня зовут Антон Черноусов. Я Developer Advocate в Yandex Cloud и многие годы веду подкаст «The Art Of Programming».

Читать полностью »

в 7:15, , рубрики: application security, DevSecOps, анализ кода, безопасная разработка, сканер уязвимостей

Привет! На связи Даниил Коновалов из CyberCodeReview.

Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для развития appsec, пусть не в стране, но хотя бы в хабр-сообществе.

Читать полностью »

в 15:04, , рубрики: ml, opensource, безопасная разработка, ИИ

Полина Сокол, старший аналитик данных R&D-лаборатории Центра технологий кибербезопасности ГК «Солар», подготовила материал о методах работы с данными и ML-моделями.

Это направление исследований позволяет на выходе обеспечить требования к прозрачности, ответственности и рискам, связанных с искусственным интеллектом. И его невозможно игнорировать при использовать ML в продуктах, предназначенных для защиты от целенаправленных атак, которые и сами могут стать одной из целей атакующих − EDR, NTA, XDR, SIEM и другие классы решений.

Безопасность в машинном обучении: зачем это нужно

Читать полностью »

в 11:15, , рубрики: PHDays, безопасная разработка, Блог компании Positive Technologies, информационная безопасность, Программирование, Разработка веб-сайтов, хакатон, Хакатоны

image

Впервые на Positive Hack Days в рамках кибербитвы The Standoff пройдет хакатон для разработчиков. Действие развернется в мегаполисе, в котором массово внедрены самые современные цифровые технологии. Условия максимально приближены к реальности. У атакующих полная свобода действий, главное не нарушать логику работы игрового полигона, а защитники должны обеспечить безопасность города. Задача команд разработчиков развернуть и обновлять заранее написанные приложения, которые атакующие не преминут проверить на прочность. Соревнование состоится 21 и 22 мая, во время проведения The Standoff.

Хакатон — отличный шанс для разработчиков провести профессиональный пентест своего приложения, посмотреть вживую, как действуют хакеры, и прямо на ходу доработать свой код с точки зрения информационной безопасности. Для хакатона принимаются только некоммерческие проекты, представленные авторами. Всего к соревнованию будут допущены 10 проектов, которые организаторы выберут по итогам голосования на сайте хакатона.
Читать полностью »

в 13:33, , рубрики: Bad news, безопасная разработка, команда разработки, менеджмент проектов, ошибки, плохие новости, управление персоналом, управление проектами, управление разработкой

Хочу поговорить о таком важном качестве, как ответственность за ошибки, как свои так и команды.

Одно из самых сложных и неприятных, на мой взгляд, решений для разработчика или руководителя (да да это всегда сложно), это обнаружив свою ошибку на проде или в вот-вот готовящемся выйти релизе, пойти и сказать руководству — “Я ошибся. Ошибка на проде, сейчас я пытаюсь понять, насколько это влияет на пользователей.”

Это естественно и нормально, и так должно быть, но ощущения всегд неприятные. Более того как руководитель, я хочу слышать такие новости от своей команды. Не поймите меня неверно, я не мазахист, который любит ходить с такими новостями к техническому директору, но если ошибка весомая, и может стоить компании денег, то получать такие новости крайне важно.

Почему нужно рассказывать о таких случаях, если вы разработчик?

Казалось бы, ошибка, на проде, нужно исправить и в следующем релизе спокойно это вылить, зачем беспокоить руководителя?

А вы приносите плохие новости руководству? - 1

Читать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js