Рубрика «DevSecOps»

в 12:58, , рубрики: DevSecOps, белые хакеры, инфобез, информационная безопасность, кибербезопасность, киберразведка, мифы и реальность, начинающим, пентестеры, специалист по безопасности

Кибербезопасность сегодня выглядит как одна из самых заметных сфер в IT: о ней много говорят, специалистов не хватает, а зарплаты обсуждают даже в общих чатах про карьеру. Неудивительно, что у новичков складываются свои ожидания: от «быстрых денег» до образа белых хакеров.

На деле всё чуть сложнее, и в этом нет ничего плохого. Просто путь в профессию устроен иначе, чем может показаться на старте. В этой статье разберём 5 самых популярных мифов о карьере в ИБ и посмотрим, что за ними стоит.

При составлении материала консультировали эксперты:

Читать полностью »

в 11:17, , рубрики: DevSecOps, devsecops as a service, devsecops services, SAST, безопасная разработка, информационная безопасность, код, Программирование

Я раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить».
Каждый день у меня был один и тот же диалог:

  • Тимлид: «У нас релиз в пятницу, отстань со своим сканированием».

  • Менеджер: «В бюджете только Jira и пицца, какие ещё 15 миллионов за софт?»

  • Разработчик: «Код сгенерил AI, билд прошёл, значит, всё норм».

Читать полностью »

в 9:56, , рубрики: appsec, compliance, DevSecOps, SOC-аналитик, взлом, ИБ, информационная безопасность, искусственный интеллект, пентестер, хакерство

Знаете, сколько времени нужно, чтобы взломать типичную российскую компанию? В среднем — меньше суток, а рекорд составил 34 минуты. Меньше, чем уходит на обед. Это данные недавнего эксперимента белых хакеров (пентестеров): они протестировали 74 компании и в двух из трёх случаях получили полный доступ. В 60% атак последствия были критичными: остановка бизнес-процессов, шифрование данных или кража средств.

Рынок кибербезопасности в России сегодня стремительно меняется: уходят западные вендоры, компании латают инфраструктуру, а хакеры используют всё — от дыр в коде до генеративного ИИ. И одно остаётся стабильным: Читать полностью »

в 7:16, , рубрики: CICD, DevSecOps, docker, supply chain, безопасность, контейнеры, подпись образов, уязвимости, эксплуатация
Схема атаки gh0stEdit: вредонос встраивается в слой Docker-образа, а стандартные проверки изменений не выявляют.

Схема атаки gh0stEdit: вредонос встраивается в слой Docker-образа, а стандартные проверки изменений не выявляют.

Читать полностью »

в 11:01, , рубрики: DevSecOps, информационная безопасность, искусственный интеллект, консоль

в 11:05, , рубрики: devops, DevSecOps, llm, mlsecops, python, rag, информационная безопасность, искуственный интеллект, машинное обучение

Никто не любит быть тем парнем, который говорит "а давайте еще и защиту поставим". Особенно когда речь идет о блестящем новом AI-продукте, который должен был запуститься "еще вчера". Но когда твой корпоративный чат-бот начинает выдавать системные промпты направо и налево, а в 2 ночи тебе в Telegram прилетают сообщения "СРОЧНО! Хакеры взломали бота!" — понимаешь, что без брони в бой идти нельзя.

Читать полностью »

в 10:00, , рубрики: DevSecOps, Git, secrets-management, секреты

в 11:15, , рубрики: devops, DevSecOps, llm, python, rag, большая языковая модель, информационная безопасность, искуственный интеллект, машинное обучение

Предыстория

Полгода назад я работал над внедрением RAG-системы в крупной финансовой компании. Задача была типичная: построить корпоративного чат-бота, который мог бы отвечать на вопросы сотрудников по внутренним документам. Казалось бы, что может пойти не так? Берем готовую LLM, подключаем к базе знаний, добавляем немного магии с векторным поиском — и готово.

Но когда я начал тестировать систему перед продакшеном, обнаружил, что наш "умный" ассистент превращается в болтливого предателя при правильно сформулированных вопросах.

Читать полностью »

в 13:01, , рубрики: AI, dataops, devops, DevSecOps, llm, mlops

Привет! Меня зовут Константин Полуэктов, я solution architect в Yandex Cloud и технический эксперт в онлайн-магистратуре от Яндекса и ИТМО «DevOps-инженер облачных сервисов». В этой статье я расскажу о сфере DevOps: что изменилось за последние годы и чего ждать в будущем.

Читать полностью »

в 9:12, , рубрики: AI safety, AI Security, DevSecOps, Kubernetes ML, mlops, mlsecops, безопасная разработка ML, жизненный цикл ML модели

Модели машинного обучения (ML) становятся ключевой частью современных продуктов и сервисов, и вопросы их безопасной разработки выходят на первый план. Однако на практике у многих команд нет понимания, как именно выстраивать защиту — на каких этапах, с помощью каких инструментов и против каких угроз.

Меня зовут Александр Серов, я ведущий специалист по безопасности больших языковых моделей в Swordfish Security. В этой статье я покажу, как подходить к безопасности ML-систем системно — через уровни зрелости, жизненный цикл моделей и реальные практики.

Читать полностью »

123...4
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js