Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Alarm over reports of massive #krill catch in the Southern Ocean

August 1, 2025

#ASOC is calling on world governments to take urgent action

Washington, 31 July 2025: "In response to a report by the Associated Press that the Antarctic krill fishery may have to imminently close due to an unprecedented high catch, the Antarctic and Southern Ocean Coalition (ASOC) is calling on world governments to take urgent action. The historic catch amount occurred due to the lapse of a key #conservation regulation requiring the fishery to distribute fishing over a larger geographic area.

"Krill is at the base of the #FoodChain in Antarctica and increasing demand from companies seeking to sell fishmeal, #PetFood and #DietarySupplements has led to a spiraling increase in catch. International negotiations at CCAMLR, the body charged with conserving marine living resources in Antarctica, broke down last year, resulting in lowering of protections related to krill catch. This reduction in protection allows the entire krill quota to be caught in a very small area, increasing impacts to krill predators – #penguins, #seals, and #whales – that depend on krill to survive.

"The next round of negotiations on these issues will be held in Australia in October. Scientific research has previously shown that krill predators are negatively affected by fishing at an even lower level of catch than was seen this year."

https://www.asoc.org/news/alarm-over-reports-of-massive-krill-catch-in-the-southern-ocean/

#OceansAreLife #Overfishing
#FoodIsLife #Extinction #MarineLife
#Whales #KrillHarvesting #KrillSupplements #StarvingWhales

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Три мушкетера из мира DevSecOps. Внедряем инструменты для развития AppSec-процессов

Привет, Хабр! С вами Максим Коровенков, DevSecOps Lead в Купер.техе. Продолжаем цикл статей про построение DevSecOps с нуля. Это большой гайд from zero to, надеюсь, hero.

https://habr.com/ru/companies/kuper/articles/890972/

#asoc #devsecops #appsec

WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)

Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии! Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы: Мониторинг API-активности. SOC может использовать интегрированные в WAF системы обнаружения API для мониторинга активности взаимодействия с API, включая запросы, ответы, аутентификацию и авторизацию. Это позволяет обнаруживать подозрительную или незаконную активность, такую как несанкционированные попытки доступа или использование API для атак. Обнаружение аномалий в API-трафике: Интеграция с системами обнаружения API позволяет SOC анализировать трафик и обнаруживать аномалии, такие как необычные или аномально высокие объемы запросов, необычные паттерны поведения или подозрительные изменения в обработке данных. Подобные ситуации характерны для поведенческих атак, таких как: перебор паролей, перебор идентификаторов сессии, принудительный просмотр ресурсов веб‑приложения (Forced Browsing), подстановка учетных данных. В каких ситуациях это может быть важно. Аномалия в API-трафике, связанная с резким повышение количества запросов к конечным точкам инфраструктуры содержащих аутентификационные данные, например пароли, токены и секретные ключи. На иллюстрации ниже представлено отображение таких эндпоинтов в «ПроAPI Структура» с указанием типов чувствительных данных (токен, пароль и т.д.) и количества хитов/атак.

https://habr.com/ru/companies/webmonitorx/articles/842138/

#информационная_безопасность #кибербезопасность #waf #soc #siem #asoc #application_security #api #web_security #web_application_firewall

AppSec-платформа для сотен миллионов строк кода

Сегодня я хочу рассказать про нашу внутреннюю AppSec-разработку – платформу Security Gate. Начну с предпосылок для ее создания, подробно опишу архитектуру решения и поделюсь открытиями и маленькими неожиданностями, которые ждали нас (и могут ждать любого в рамках построения похожего инструмента). В этой статье мы оставим за рамками то, какое значение имеет UX в построении платформы — об этом можно написать отдельную статью, поскольку этой теме хочется уделить особое внимание.

https://habr.com/ru/companies/vk/articles/824496/

#appsec #asoc #application_security #разработка #информационная_безопасность