Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные человеком, который явно не планировал дожить до аудита. Кроме того, у нас были изменения, сгенерированные AI-ассистентами, забытые исключения в проверках доступа, временные обходные решения, давно ставшие частью архитектуры, два отчета пентеста, тысячи задач и дашборд, который краснел так, будто видел все наши будущие инциденты сразу. Не то чтобы это был необходимый запас для управления безопасностью приложений, но если уж ты решил строить ASPM через агрегацию всего подряд, рано или поздно ты оказываешься именно в такой машине — на полной скорости, без карты, с разработчиками на заднем сидении, которые только и спрашивают: “Что из этого реально надо исправлять?”». Всем привет! Меня зовут Артем Пузанков, я руководитель отдела консалтинга безопасной разработки в Бастионе. Сегодня хотелось бы порефлексировать с вами про управление состоянием безопасности приложений, ASPM, AI-generated код и AppSec. Эта статья о том, почему будущее ASPM не в том, чтобы собрать все дефекты в «единое окно», а в том, чтобы сопоставить обнаруженные находки, проверить достижимость и отделить реальные угрозы от шума (читай технического долга).

https://habr.com/ru/companies/bastion/articles/1031884/

#aspm #devsecops #application_security #ssdlc #безопасная_разработка #информационная_безопасность #AI_в_кибербезопасности #управление_уязвимостями #безопасность_приложений

4 мифа про DevSecOps, которые мешают безопасной разработке

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate. В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта. И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал. Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

https://habr.com/ru/companies/ru_mts/articles/1004448/

#devsecops #devsecops_и_devops #безопасная_разработка #ssdlc #мифы_о_devsecops #безопасная_архитектура #безопасный_процесс #shift_left #shift_left_security

Чем занимается DevSecOps? Обзор инструментов

В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки. Отдельно остановимся на том, как внедрять SSDLC без вреда для проекта и обсудим чек-лист оценки зрелости. Погрузимся в облако тегов DevSecOps, разберем ключевые практики и инструменты, а также поговорим о том, что делать после того, как все эти процессы уже внедрены.

https://habr.com/ru/companies/ctsg/articles/1000586/

#devsecops #ssdlc #информационная_безопасность #оценка_зрелости #sast #dast #container_security #asoc #osa #sbom

Application security specialist @sydseter mentioned to me this comprehensive web page by @adamshostack listing information security and privacy table-top games, including the card games OWASP Cornucopia @owasp and Digital Benefits and Disbenefits Cornucopia @DBD_Cornucopia

Game on!

#infosec #appsec #privacy #threatmodelling #ssdlc #gamification #games

Shostack + Associates > Tabletop Security Games + Cards
https://shostack.org/games

Best practices в SSDLC: лучшие для вашего ПО

Разработка программного обеспечения не стоит на месте: меняется технологический стек, совершенствуются подходы к созданию ПО. Вместе с тем уточняются и требования к ПО и процессу разработки в целом. Все больше людей узнает о понятии SSDLC (Secure Software Development Life Cycle) или безопасный жизненный цикл разработки ПО. Как же построить такой цикл в команде? Как сформировать качественную стратегию построения безопасной разработки? Давайте разбираться!

https://habr.com/ru/articles/994108/

#ssdlc #bsimm #samm #гост_569392024

Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?

Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.

https://habr.com/ru/companies/securityvison/articles/980308/

#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast

Как переход на защищенные образы контейнеров повышает безопасность жизненного цикла разработки

​Стандартизация на основе защищенных базовых образов может способствовать внедрению методов управления жизненным циклом систем с расширенными правами доступа (SSDLC) и преобразованию управления уязвимостями в предсказуемый рабочий процесс...

#DST #DSTGlobal #ДСТ #ДСТГлобал #контейнеры #защищенныеобразы #безопасность #SSDLC #SLA #Docker #программноеобеспечение #SBOM

Источник: https://dstglobal.ru/club/1137-kak-perehod-na-zaschischennye-obrazy-konteinerov-povyshaet-bezopasnost-zhiznennogo-cikla-razrab

Взгляд безопасника на ежегодный отчет Github Octoverse 2025

Взгляд безопасника на ежегодный отчет Github Octoverse 2025. Отчет 2025 выглядит как вестник новой реальности, где ИИ в разработке будет отведена ключевая роль. Постарался дать пару советов для безопасников которых ждет такое значимое изменение подходов. Давай почитаем!

https://habr.com/ru/articles/963774/

#ии #github #ssdlc #codeql

До 100 релизов в день. Как мы ускорили процесс разработки

Привет! Меня зовут Илья, я директор департамента разработки в ЮMoney. За каждым малозаметным обновлением может стоять месяц работы: проработка архитектуры, дизайна, код-ревью и множество проверок безопасности. В ЮMoney мы смогли совместить тщательный контроль с бешеной скоростью — и делаем до 100 релизов в день. Расскажу, как мелкие задачи спасают от больших рисков и что помогает нам «катиться» быстрее.

https://habr.com/ru/companies/yoomoney/articles/955930/

#разработка #релиз #автоматизация #декомпозиция_задач #кодревью #безопасность #ssdlc #финтех

OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений

В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на ранних этапах и помогают предотвращать потенциальные атаки. Одним из наиболее распространенных инструментов для обучения и практического тестирования защищённости веб-приложений является OWASP ZAP (Zed Attack Proxy). Этот бесплатный и открытый сканер безопасности широко применяется как профессионалами, так и начинающими специалистами для поиска уязвимостей в веб-приложениях. Освоение работы с OWASP ZAP рекомендуется не только инженерам по информационной безопасности, но и разработчикам, DevOps-специалистам и тестировщикам, заинтересованным в создании по-настоящему безопасных сервисов. В Security Vision мы поддерживаем безопасность в том числе и данным инструментом, а также используем для сравнения результатов сканирования в режиме pentest наших скриптов по OWASP top 10. В данной работе рассматривается практический подход к использованию OWASP ZAP для аудита безопасности веб-приложений. Материал предназначен для студентов, разработчиков и всех, кто хочет освоить современные инструменты безопасной разработки.

https://habr.com/ru/companies/securityvison/articles/950398/

#ssdlc #zap #owasp_zap