Ok, so this is bad, right? But the original group was pretty much a big list of false positives and unexploitable bugs. Is this one different? And scuttlebutt?

https://www.securityweek.com/anthropic-mythos-detected-23000-potential-vulnerabilities-across-1000-oss-projects/

#mythos #sast

Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

Привет, Хабр! На связи Денис Макрушин из команды SourceCraft . Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер. Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна цепочка — нашёл, объяснил, помог исправить . Здесь на сцену выходят LLM — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST. В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

https://habr.com/ru/companies/sourcecraft/articles/1038016/

#sast #безопасность #статистический_анализ #ии

Kovacs has a well written analysis of the infosec industry take on @bagder's experience with Mythos.

https://www.securityweek.com/claude-mythos-finds-only-one-curl-vulnerability-experts-divided-on-what-it-really-means/

#genai #sast

Хватит копировать security YAML: AppSec-слой для Java-проектов через Gradle convention plugin

Практический разбор того, как я вынес security-проверки Java-проектов из разрозненных CI/CD-скриптов в переиспользуемый Gradle plugin

https://habr.com/ru/articles/1032532/

#cicd #gitlabci #java #gradle #gradleplugin #security #sast #sbom

Как сделать Maven build security-aware: AppSec-проверки без дрейфа CI/CD

Единый плагин для сканирования на безопасность Java проектов. Maven. Или как проверять кучу микросервисов на безопасность управляя этим в одном месте Скачать плагин

https://habr.com/ru/articles/1032514/

#java #плагин #cicd #gitlabci #sast

А сейчас я покажу, откуда на вайбкод готовилось нападение

Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops. Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps. Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD. Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6. Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

https://habr.com/ru/companies/ruvds/articles/1017858/

#безопасность #безопасность_вебприложений #вайбкодинг #уязвимости #уязвимости_и_их_эксплуатация #devsecops #llm #sast #owasp #ruvds_статьи

Corporal Timmy Wright at Vespucci Beach Park while on a UTV patrol of the Vespucci and Del Perro Beach area. Our Environmental and Wildlife Troopers carries the full authority of a State Trooper and is specially trained in Environmental, Conservation, and Wildlife Protection law and operations.

EWTs respond to all calls for service and enforce all laws in accordance with State and Federal Law.

#rp #fiveM #gtav #wildlife #beachpatrol #sast