DevSecOps или безопасная разработка: все, что вы хотели знать, но боялись спросить

С 2019 по 2023 год количество ИБ-инцидентов выросло более чем на 134%, а от последствий кибератак компании теряли в среднем по 20 млн рублей. На этом фоне произошел рост интереса к отечественному ПО, что подталкивает российские ИТ-компании отдавать приоритет информационной безопасности инфраструктуры разработки и защищенности собственных приложения. Как DevSecOps может помочь противостоять киберугрозам? И насколько сложно внедрить практику в процессы предприятия? Ответы на эти и другие вопросы о безопасной разработке собрали для вас в одной статье.

https://habr.com/ru/companies/ussc/articles/894818/

#devsecops #информационная_безопасность #безопасность #безопасная_разработка #киберинциденты #безопасность_по

Проектирование безопасного программного обеспечения с учетом целостности

Сегодня мы рассмотрим проектирование безопасного программного обеспечения для обеспечения целостности данных. Как мы можем гарантировать, что наше программное обеспечение спроектировано таким образом, чтобы данные были устойчивы к атакам и не подвергались изменениям?

https://habr.com/ru/companies/otus/articles/823536/

#целостность_данных #безопасность_по #проектирование_систем #архитектура_по

Поиск уязвимостей в исходном коде с помощью ручного статического анализа

Ручной анализ исходного кода – это проверка кода на наличие уязвимостей и проблем, связанных с бизнес-логикой, которую выполняет квалифицированный специалист. Выполнять анализа кода вручную можно «в лоб», просматривая весь код от начала и до конца, или придерживаться определенного подхода — например, определив сначала поверхность атаки. Поверхность атаки программного обеспечения (ПО) — совокупность интерфейсов и реализующих их модулей ПО, посредством прямого или косвенного использования которых могут реализовываться угрозы безопасному функционированию ПО. Для определения поверхности атаки обычно используются статические анализаторы исходного кода. Однако обнаружить уязвимости можно с помощью ручного статического анализа. В статье рассмотрим, какие есть основные этапы обнаружения уязвимостей при ручном статическом анализе, на что обязательно стоит обратить внимание.

https://habr.com/ru/companies/ussc/articles/805031/

#информационная_безопасность #безопасная_разработка #безопасная_разработка_приложений #анализ_уязвимостей #безопасность_по #статический_анализ #анализ_кода #ручной_анализ_кода

[Перевод] Предварительная оценка вероятности наличия уязвимостей в программах с учетом семантики средствами нейронных сетей (1/3)

Полное название: Предварительная оценка вероятности наличия уязвимостей в программах в двоичном представлении с учетом семантики средствами нейронных сетей. Часть 2 Часть 3 Предварительная оценка вероятности наличия уязвимостей (vulnerability prediction, VP) в бинарных программах с использованием статического анализа является популярной темой исследований. Традиционные методы VP основаны на применении шаблонов уязвимостей, которые требуют трудоемкой разработки шаблонов уязвимостей силами экспертами по безопасности. Развитие искусственного интеллекта (ИИ) открыло новые возможности для VP. Нейронные сети позволяют обучать шаблоны уязвимостей автоматически. Тем не менее, в современных исследованиях рассматриваются только один или два типа функций и используются традиционные модели, например, word2vec, которые не учитывают большое количество информации на уровне инструкций. В этой статье предлагается модель SAViP для VP в бинарных программах.

https://habr.com/ru/companies/stc_spb/articles/774406/

#нейросети #семантика #уязвимости #вероятность #vulnerability_prediction #SAViP #эмбеддинги #безопасность_по #фаззингтестирование