🚀 aghast v0.6.0 is out!

Cost and budget controls, per-check repository exclusion, and enhanced security hardening. Run aghast stats to see your scan costs, set budgets, and scale with confidence.

Get it: npm install -g @bouncesecurity/aghast

#SecurityTesting #DevSecOps

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

Malicious NuGet packages targeted Chinese .NET developers.
• ~65K downloads
• Infostealer payloads
• CI/CD systems at risk

https://www.technadu.com/malicious-nuget-packages-target-chinese-net-ecosystem-developers/627373/

How are you validating dependencies?
#InfoSec #DevSecOps #CyberSecurity

🔴 NEW: 1 Leaked AWS Key = Full Cloud Takeover (Here's How)

One leaked AWS key can cost you $47,000 overnight. Learn how attackers find your credentials in seconds, escalate privileges silently, and how to stop them. Real incidents. Real fixes. Act now.

0:00

https://www.youtube.com/watch?v=UQwVZNNQvvs

#AWSSecurity #CloudSecurity #IAMBestPractices #DevSecOps #Cybersecurity2024 #AWSaccesskeysecurity #cloudcredentialleak #IAMprivilegeescalation

If you use jq a lot (or otherwise work with JSON and YAML), then jless is almost certainly a tool you're interested in https://github.com/PaulJuliusMartinez/jless/

#sysadmin #SRE #DevOps #DevSecOps #TooManyNamesForSysadmin