Blackhole: mock server с ground truth для тестирования black-box сканеров
Выложил Blackhole — Python ASGI mock server для тестирования black-box сканеров, обучения и воспроизводимых бенчмарков. Пока вайбили с Уроборосом родился релиз в другом жанре, о нем ниже. Он offtopic но да простит меня Хабр великий и могучий, не смог удержаться.
https://habr.com/ru/articles/1012034/
#blackbox #owasp #qa_automation #webприложения #appsec #dast
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.
https://habr.com/ru/companies/ctsg/articles/1000586/
#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom
🎯 Kick off 2026 with OWASP London Training Days! Join Josh Grossman’s updated 2-Day training: Building a High-Value AppSec Scanning Programme (2026). Cut through SAST, DAST & SCA noise and deliver real AppSec value.📍 Secure your spot now: https://londonowasptrainingdays2025.sched.com/event/2CR8o
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
Hey Fediverse. Can you get @zaproxy to 15k ⭐️?
#OpenSource #DAST #AppSec #WebAppSec #ITSec #CyberSec #PenTest #BugBountyTips
Current Stars 14500
DevSecOps для всех: как развернуть стенд за 15 минут
Перед каждой презентацией одна и та же история: собираешь инфраструктуру вручную, молишься богам DevOps и придумываешь отговорки на случай внезапных багов. С DevSecOps особенно весело: мало установить сам продукт, нужен целый зоопарк из GitLab, Kubernetes, сканеров безопасности и систем управления уязвимостями. Поэтому мы собрали DevSecOps-песочницу, которая разворачивается одной кнопкой: подождал 15 минут — готово. Всё крутится на одной виртуальной машине с K3s, управляется через Terraform и Cloud-init, а главное — воспроизводится с гарантированным результатом. Расскажу, как устроено это решение, с какими проблемами столкнулись и почему без автоматизации инфраструктуры сегодня никуда. Над проектом работала команда из К2 Кибербезопасность: я, Максим Гусев, инженер по защите ИТ-инфраструктуры, и мои коллеги — Максим Виноградов и Александр Лысенко.
https://habr.com/ru/companies/k2tech/articles/970058/
#информационная_безопасность #devsecops #terraform #cloudinit #devops #container_security #sast #dast #sca #kaspersky
Manual DAST? That's so last decade, like debugging with print() statements and hoping for the best. 🙄 Automating DAST is no longer optional; it's crucial for baking security into your CI/CD without slowing down development.
Are your DAST tools keeping pace, or are they still living in the stone age, creating bottlenecks and developer headaches?
#DevSecOps #DAST #Automation #CI_CD #CyberSecurity #SoftwareDevelopment
https://www.artificialintelligence-news.com/news/the-engineers-guide-to-automating-dast-tools/
Разбираемся с IAST
Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений – IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
Habr
OWASP Foundation
kingthorin_rm
Mind Lude
Willa 
