Когда я начал разбираться, чем в мире опенсорса можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единственный известный вариант это DefectDojo. Сам я его в проде не тащил, но от коллег регулярно слышал одну и ту же боль: на больших объёмах он начинает захлёбываться, и тебе просто больше не хочется заходить, а аналогов с человеческим видом и БДУ ФСТЭК «из коробки» в опенсорсе я просто не нашёл. Так и появилась моя ASOC-платформа: Go + PostgreSQL + Redis Streams + React, развёртывание одной командой docker compose upЧитать полностью »
Рубрика «DevSecOps»
ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК
2026-05-10 в 13:16, admin, рубрики: air-gapped, appsec, asoc, DefectDojo, DevSecOps, Go, on-premise, postgresql, vulnerability management, БДУ ФСТЭККогда pull request выглядит нормальным, но ревью на нём всё равно зависает
2026-05-03 в 10:15, admin, рубрики: AI code review, appsec, code review, DevSecOps, github, llm, pull request, анализ кода, безопасная разработка, ревью кодаПоводом для этого проекта был не абстрактный интерес к AI и не желание сделать ещё один инструмент для ревью.
На одном из рабочих проектов довольно быстро стало видно, что на pull request уже нельзя смотреть по старой модели. Команда начала двигаться в сторону AI-first разработки. В продукт стало прилетать больше изменений от людей с очень разной глубиной контекста: часть работала рядом с продуктом, часть приходила из смежных команд, часть собиралась с активной помощью AI. Скорость изменений выросла. А вот глубина понимания конкретной зоны у автора PR часто, наоборот, стала ниже.
Вайбкод и безопасность: как не задеплоить уязвимости вместе с фичами
2026-05-01 в 9:01, admin, рубрики: DevSecOps, llm, OWASP, ruvds_статьи, SAST, безопасность, безопасность веб-приложений, вайбкодинг, уязвимости, уязвимости и их эксплуатация
Pipeline Triad Pattern: конвейер AI-агентов вместо команды разработки
2026-04-15 в 10:00, admin, рубрики: ai-агенты, code review, devops, DevSecOps, llm, multi-agent systems, orchestration, pipeline triad, sdlcPipeline Triad Pattern: конвейер AI-агентов вместо команды разработки
TL;DR
Pipeline Triad Pattern - это не один AI-агент, а конвейер троек: Создатель, Критик и Арбитр. Каждая тройка закрывает свой этап SDLC, человек включается только в 4 контрольных точках, а сам паттерн лучше всего работает на типовых enterprise-задачах с формализованными правилами. Это не замена CI/CD, а слой агентного делегирования поверх обычной автоматизации. Главные ограничения - галлюцинации, качество промптов, оргпроцессы и безопасность самого конвейера.
Scope:Читать полностью »
Вся правда о карьере в ИБ: разбираем мифы про хакеров и высокие зарплаты
2025-10-29 в 12:58, admin, рубрики: DevSecOps, белые хакеры, инфобез, информационная безопасность, кибербезопасность, киберразведка, мифы и реальность, начинающим, пентестеры, специалист по безопасностиКибербезопасность сегодня выглядит как одна из самых заметных сфер в IT: о ней много говорят, специалистов не хватает, а зарплаты обсуждают даже в общих чатах про карьеру. Неудивительно, что у новичков складываются свои ожидания: от «быстрых денег» до образа белых хакеров.
На деле всё чуть сложнее, и в этом нет ничего плохого. Просто путь в профессию устроен иначе, чем может показаться на старте. В этой статье разберём 5 самых популярных мифов о карьере в ИБ и посмотрим, что за ними стоит.
При составлении материала консультировали эксперты:
DevSecOps за 20 миллионов? Я сделал свой сканер и выложил бесплатно
2025-09-30 в 11:17, admin, рубрики: DevSecOps, devsecops as a service, devsecops services, SAST, безопасная разработка, информационная безопасность, код, ПрограммированиеЯ раньше работал обычным безопасником. Кто-то называет таких «ИБшниками», кто-то — «параноиками», кто-то — «тем самым занудой, который мешает жить».
Каждый день у меня был один и тот же диалог:
-
Тимлид: «У нас релиз в пятницу, отстань со своим сканированием».
-
Менеджер: «В бюджете только Jira и пицца, какие ещё 15 миллионов за софт?»
-
Разработчик: «Код сгенерил AI, билд прошёл, значит, всё норм».
34 минуты до взлома: почему миру всегда будут нужны ИБ специалисты
2025-09-18 в 9:56, admin, рубрики: appsec, compliance, DevSecOps, SOC-аналитик, взлом, ИБ, информационная безопасность, искусственный интеллект, пентестер, хакерствоЗнаете, сколько времени нужно, чтобы взломать типичную российскую компанию? В среднем — меньше суток, а рекорд составил 34 минуты. Меньше, чем уходит на обед. Это данные недавнего эксперимента белых хакеров (пентестеров): они протестировали 74 компании и в двух из трёх случаях получили полный доступ. В 60% атак последствия были критичными: остановка бизнес-процессов, шифрование данных или кража средств.
Рынок кибербезопасности в России сегодня стремительно меняется: уходят западные вендоры, компании латают инфраструктуру, а хакеры используют всё — от дыр в коде до генеративного ИИ. И одно остаётся стабильным: Читать полностью »
gh0stEdit: как скрытно заразить Docker-образ, обходя его подпись и историю
2025-09-17 в 7:16, admin, рубрики: CICD, DevSecOps, docker, supply chain, безопасность, контейнеры, подпись образов, уязвимости, эксплуатация
За неделю от ночных кошмаров до спокойного сна: как я автоматизировал защиту от AI-хакеров
2025-07-24 в 11:05, admin, рубрики: devops, DevSecOps, llm, mlsecops, python, rag, информационная безопасность, искуственный интеллект, машинное обучениеНикто не любит быть тем парнем, который говорит "а давайте еще и защиту поставим". Особенно когда речь идет о блестящем новом AI-продукте, который должен был запуститься "еще вчера". Но когда твой корпоративный чат-бот начинает выдавать системные промпты направо и налево, а в 2 ночи тебе в Telegram прилетают сообщения "СРОЧНО! Хакеры взломали бота!" — понимаешь, что без брони в бой идти нельзя.