Frontend Risks #1: CMS Битрикс отправляет данные ваших клиентов в Ирландию

В результате проведенного мной исследования безопасности 3000 российских frontend-приложений было обнаружено, что CMS Битрикс более 11 лет передает персональные данные посетителей сайтов на территорию Ирландии. Компании рискуют получить штрафы Роскомнадзора за трансграничную передачу данных без уведомления регулятора.

https://habr.com/ru/articles/919534/

#1СБитрикс #персональные_данные #система_аналитики #ндв #frontend #безопасность_вебприложений #безопасная_разработка #devsecops #рбпо #роскомнадзор

DevSecOps без иллюзий: строим безопасный цикл разработки на чужих ошибках

Сегодня поговорим о том, что многие делают, но мало кто делает правильно — о безопасной разработке и DevSecOps. Для этого мы пригласили Романа Гаголушко, руководителя отдела консалтинга безопасной разработки в Бастионе. Передаем ему слово. Небольшой дисклеймер. За годы работы в сфере безопасности разработки я насмотрелся: — на вопиющие случаи игнорирования базовых принципов безопасности (и не только при разработке); — на неэффективные попытки внедрения Dev «Sec» Ops; — на откровенную и безрезультатную имитацию бурной деятельности; — на такую же безрезультатную трату бюджета при закупке неподходящих инструментов анализа кода; — на безразличие; — на нежелание видеть очевидные вещи; — на непонимание ИБ и БР со стороны разработки. В этой статье я расскажу о типичных ошибках компаний, которые совершают все (от маленьких и не очень стартапов до больших и не очень корпораций), поделюсь практическими советами по организации процессов безопасной разработки. Напоследок расскажу, как обстоят дела с регулированием, и немного поговорю о трендах.

https://habr.com/ru/companies/bastion/articles/919274/

#devsecops #безопасная_разработка #информационная_безопасность #управление_проектами #разработка_приложений #контроль_качества #quality_gates #DevSecOps_as_a_Service

Безопасная сборка Docker-образов в CI: пошаговая инструкция

Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность . Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет разработку, деплой приложений, сокращает time to market. Автоматизация — незаменимый сегодня процесс, который при этом открывает отличные лазейки и для киберугроз. Далеко не все задумываются, кому и какие доступы раздают и к каким последствиям это может привести. Поэтому без учета кибербезопасности здесь появляются дополнительные риски инцидентов. В этой статье я поэтапно разобрал пример сборки Docker-образов в GitLab CI пайплайнах с учетом баланса между безопасностью автоматизированной разработки и скоростью процесса.

https://habr.com/ru/companies/k2tech/articles/914014/

#кибербезопасность #информационная_безопасность #devops #devsecops #разработка_приложений #деплой #docker_образы #gitlab_ci #безопасная_разработка #безопасная_разработка_приложений

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Регуляторика РБПО. Часть 5 – Ответственность, взгляд в будущее, инфографика всего обзора

Приветы после долгого перерыва! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Сегодня в завершающей статье по Регуляторике РБПО: - напомним о применимой законодательной ответственности, - расскажем, что сейчас в проектах у регуляторов на 2025 год, а что уже есть нового утвержденного, - покажем майндкарты регуляторики. В конце будет розыгрыш мерча, который обещали в 1 части 😊

https://habr.com/ru/companies/swordfish_security/articles/905168/

#безопасная_разработка #безопасность_приложений #регуляторика #devsecops #рбпо #гост #нормативные_требования #законодательство #требования_регуляторов #информационная_безопасность

Сертификация и безопасная разработка: простым языком

Так как мы уже начали эту тему и рассказали вам про процесс SCA, настало время поговорить о том, как именно тестируется исходный код приложений и сами приложения с точки зрения безопасности. Как и в прошлый раз, это статья для безопасников, которым по каким-то причинам нужно поддержать разговор про SSDL – безопасную разработку.

https://habr.com/ru/companies/securityvison/articles/901650/

#сертификация #безопасная_разработка #безопасная_разработка_приложений #статика #динамика #проверка_кода #информационная_безопасность #информационные_технологии #тестирование_по #тестирование_приложений

Как мы реализовали SCA при помощи SBOM

Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

https://habr.com/ru/companies/cian/articles/900040/

#trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca #сканеры_безопасности #cdxgen #безопасная_разработка #сканеры_уязвимостей

Сертификация ФСТЭК: как мы перестали бояться и полюбили процесс

Знаете, как обычно проходит первая встреча с сертификацией ФСТЭК? Примерно как встреча с медведем в лесу. Все знают, что он где-то есть, все слышали истории о том, как другие его видели, но пока не столкнешься сам — не поймешь масштаба. В какой-то момент нам стало понятно: либо научимся проходить сертификацию и последующие проверки красиво, либо увязнем в бесконечном марафоне. Спойлер: мы научились.

https://habr.com/ru/companies/basis/articles/899470/

#сертификация #фстэк #devsecops #безопасная_разработка #базис #инспекция_кода

Пять простых* задач по кибербезопасности для разработчика

Привет! Это Маша из AppSec Альфа-Банка. Я люблю, чтобы разработчикам было интересно, а продукты компании были безопасными. Наша команда безопасной разработки подготовила для вас примеры уязвимостей, которых можно избежать в своем коде. Мы показали примеры в виде задач, предложили решение и пути предотвращения. Все задачи из примеров встречались нам ранее в программах BugBounty или на прошлых местах работы и воссозданы в тестовой среде. Предлагаем вам принять участие в решении задач в формате челленджа — для удовольствия и вдохновения. И очень хотим напомнить о важности безопасной разработки.

https://habr.com/ru/companies/alfa/articles/896002/

#appsec #безопасность #безопасная_разработка #кибербезопасность #задачи_для_программистов

Несколько правил организации багатона по кибербезопасности

Привет! Это Маша из AppSec Альфа-Банка. Недавно мы провели первый (для себя) багатон по кибербезопасности, прошедший при совместной работе ИТ, AppSec, команд Внутрикома и DevRel. Главными целями были пропаганда безопасной разработки и сближение разработчиков и команды AppSec. Расскажем, как мы спланировали и провели мероприятие, чтобы оно стало не только полезным, но и запомнилось командам разработки.

https://habr.com/ru/companies/alfa/articles/895956/

#альфабанк #безопасная_разработка #appsec #безопасность #ssdlc #багатон