China launches test direct-to-device satellites for multiple projects

https://fed.brid.gy/r/https://spacenews.com/china-launches-test-direct-to-device-satellites-for-multiple-projects/

Ok, so this is bad, right? But the original group was pretty much a big list of false positives and unexploitable bugs. Is this one different? And scuttlebutt?

https://www.securityweek.com/anthropic-mythos-detected-23000-potential-vulnerabilities-across-1000-oss-projects/

#mythos #sast

Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

https://habr.com/ru/companies/sourcecraft/articles/1038016/

#sast #безопасность #статистический_анализ #ии

Kovacs has a well written analysis of the infosec industry take on @bagder's experience with Mythos.

https://www.securityweek.com/claude-mythos-finds-only-one-curl-vulnerability-experts-divided-on-what-it-really-means/

#genai #sast

Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

https://habr.com/ru/articles/1032532/

#cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

https://habr.com/ru/articles/1032514/

#java #плагин #cicd #gitlabci #sast

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи