Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки

Привет! С вами снова Александр Симоненко, операционный директор Xilant . В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной статье поговорим о том, как встроить безопасность в процесс разработки, чтобы эти методики работали не на бумаге, а в жизни команды.

https://habr.com/ru/companies/technokratos/articles/974506/

#информационная_безопасность #appsec #application_security #безопасная_разработка #безопасные_требования #кибербез #кибербезопасность

Основы безопасности веб-приложений: с нуля до предупреждения атаки

Меня зовут Саша Чуфистов, я AppSec BP в Альфа-Банке. Сегодня я попробую ответить на вопрос «Как выглядит веб-приложение с точки зрения злоумышленника». Для этого мы используем заведомо уязвимое приложение , на примере которого покажу, как выглядят веб-сайты глазами атакующего: где искать точки входа, какие инструменты использовать для разведки и атаки, какие уязвимости можно повстречать и как их обнаружить в исходном коде. Ранее данный материал был представлен на воркшопе в рамках конференции Positive Hack Days — теперь он адаптирован и дополнен для более широкой аудитории, которая начинает интересоваться темой безопасной разработки. Вы можете развернуть учебную среду на своей машине, повторять команды и проверять результаты их выполнения на вашем экземпляре приложения. Для демонстрации техник разведки и инструментов я использую общеизвестные уязвимые ресурсы: demo.testfire и testphp.vulnweb . Их URL я положил в workshop/urls.txt в репозитории проекта. Дисклеймер : статья носит ознакомительный характер, и любые попытки злоупотребления данной информацией незаконны и могут повлечь за собой уголовное преследование в соответствии со статьями 272 и 273 УК РФ.

https://habr.com/ru/companies/alfa/articles/967226/

#application_security #приожение #кибербезопасность #информационная_безопасность #appsec

Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases

Привет! На связи снова Саша Симоненко, операционный директор Xilant . Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как неточные формулировки становятся уязвимостями и где в SDLC теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/968428/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Баг не в коде, а в словах: как требование превращается в уязвимость

Всем привет! Меня зовут Саша Симоненко, и я операционный директор кибербез компании Xilant . Эта статья родилась из моего сентябрьского выступления на конференции KazHackStan 2025 в Алматы, где рассказывал, как качественные бизнес-требования помогают избежать проблем с безопасностью. В первой части статьи разберем, как неточные формулировки превращаются в реальные инциденты и где в процессе теряется безопасность.

https://habr.com/ru/companies/technokratos/articles/963252/

#информационная_безопасность #требования_к_разработке #appsec #application_security #безопасная_разработка #безопасная_разработка_приложений

Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом

Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM) предлагает смотреть на процессы безопасной разработки с точки зрения зрелости, как на измеримую систему действий и результатов, а не просто как на чек‑лист практик. В этом году Synopsys не обделил нас новым отчетом и представил BSIMM 15, который мы с вами разберем. Не буду углубляться, что такое BSIMM и как его применять на практике, об этом вы можете прочесть в статье про BSIMM 14 , но стоит отметить, что BSIMM дает ежегодную оценку применимости различных практик. На этом и сосредоточимся, посмотрим, какие появились новые активности и какие сейчас в тренде.

https://habr.com/ru/companies/pt/articles/956682/

#bsimm #безопасная_разработка #appsec #application_security #фреймворки #методология

Как не потерять свои контейнеры у себя в инфраструктуре?

Проблемы больших инфраструктур и связанный с ними хаос не только не исчезли с распространением контейнеризации, но и приняли новые очертания. Многие платформы с открытым кодом поддерживают работу только с одним кластером, некоторые решения зависят от качества соединения между узлами и «не любят» потери соединения. Опираясь на опыт других проектов, мы сформировали свое видение защиты мультикластерных инфраструктур и реализовали его в своем продукте для обеспечения безопасности контейнеризированной инфраструктуры. Как именно — читайте в этой статье.

https://habr.com/ru/companies/pt/articles/936868/

#container_security #appsec #application_security #devsecops

📢 Sécurisation des modèles de langage dans les applications
📝 L'article publié par Emerging Technology Security fournit des conseils sur la manière de bien délimiter les évaluations de sécurité des a...
📖 cyberveille : https://cyberveille.ch/posts/2025-07-18-securisation-des-modeles-de-langage-dans-les-applications/
🌐 source : https://blog.includesecurity.com/2025/07/llms-in-applications-understanding-and-scoping-attack-surface/
#AI_Security #Application_Security #Cyberveille

Безопасная разработка как игра в Dungeons & Dragons

Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в Dungeons&Dragons, иначе говоря — ДНД 🎭. И вот что я заметила: процесс разработки ПО очень похож на эту игру. Сейчас расскажу, почему. Представьте, что разработка ПО — это ваша игра в Dungeons&Dragons. Вы собрали отряд: разработчиков, тестировщиков, продакт‑менеджеров, выбрали для них роли и отправились в приключение — создавать крутой продукт 🚀. Но вот загвоздка: пока вы исследуете подземелья (пишете код) 🏰, на каждом шагу вас поджидает разная нечисть — уязвимости‑ловушки 🕳️, баги‑драконы 🐉 и орки‑ошибки конфигурации 🪓. Если вы не взяли с собой защитные свитки с политиками и шаблонами безопасности 📜, зелья исправления уязвимостей 🧪 и доспехи из безопасных практик 🛡️ — ваша команда рискует быстро проиграть. Собираем команду Как и в мире ДНД, в безопасной разработке у каждого участника команды есть своя уникальная роль и задачи. Например: ⚔️ Бэкенд‑разработчик — это воин, который создает и защищает код, отражая атаки. 🧙‍♂️ Тестировщик — маг, исследующий систему с помощью «заклинаний» тестов, чтобы найти слабые места. ⛩️ Администратор инфраструктуры — жрец, поддерживающий стабильность и безопасность серверов и окружения 🎶 HR‑менеджеры и менеджеры проекта — подобно бардам, поддерживают коммуникацию и помогают команде достигать общих целей.

https://habr.com/ru/articles/925524/

#appsec #devsecops #информационная_безопасность #безопасная_разработка #application_security #dungeons_and_dragons

[レポート] Scaling security with Sportsbet's Security Guardians program #APS204 #AWSreInforce
https://dev.classmethod.jp/articles/aws-reinforce-2025-Sportsbets-Security-Guardians-program-aps204/

#dev_classmethod #AWS #Application_Security

WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO

Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг.

https://habr.com/ru/articles/916434/

#информационная_безопасность #кибербезопасность #devsecops #threatanalysis #application_security #appsec #positive_technologies

Apsafe: путь от чашки кофе до полноценной экосистемы безопасной разработки

Представляем вашему вниманию историю о том, как из маленькой идеи вырос полноценный продукт, предлагающий безопасную разработку как сервис. Также расскажем о проблемах и ошибках, которые возникали на этом пути, и поделимся планами на будущее.

https://habr.com/ru/companies/ussc/articles/910926/

#devsecops #asoc #ussc #devsecops_services #application_security #безопасная_разработка #информационная_безопасность #безопасная_разработка_приложений #pipeline #appsec

Что такое «правильный» ASOC?

Application Security Orchestration and Correlation (ASOC) – не самая тривиальная тема в реалиях отечественного подхода к обеспечению ИБ, но от этого не менее важная, и, что главное – не менее интересная. Поэтому, мне, кажется, мое мнение, как практикующего devsecops-инженера будет не лишним для развития appsec, пусть не в стране, но хотя бы в Хабр-сообществе. В ходе работы нам с командой пришлось прожить многие этапы внедрения ASOC, решить тысячу и одну проблему, дорабатывать фичи, устранять баги, и «допиливать» воркфлоу так, чтобы ASOC действительно работал, не только на бумаге, но и на практике. Постараюсь рассказать, как мы для себя видим качественный продукт. (Возможно из этого выльется цикл статей, кто его знает).

https://habr.com/ru/articles/880638/

#devsecops #безопасная_разработка #application_security #анализ_кода #сканер_уязвимостей

Атаки на GitHub-разработчика в 2024 году

Тренд «Platform Engineering», предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для проведения атак. Меня зовут Денис Макрушин, и вместе с командой SourceCraft я создаю технологии безопасной разработки, чтобы кибербезопасность была драйвером для инноваций, а разработчик мог эффективно использовать свои когнитивные способности. В этой статье я собрал коллекцию интересных уязвимостей и методов атак на пользователей крупной платформы разработки, обзор актуальных методов атак, выявленных в 2024 году. Понимание актуальных угроз позволяет лучше разобраться в необходимости улучшения практик безопасности в такой платформе на примере GitHub. Материал будет полезен как разработчикам, так и специалистам по информационной безопасности для защиты своих проектов.

https://habr.com/ru/companies/yandex_cloud_and_infra/articles/867754/

#application_security #devsecops #github #supply_chain #supply_chain_attacks

Два подхода к анализу ПО на уязвимости: какой выбрать?

Думаю, каждый айти-специалист знает, насколько важно учитывать требования информационной безопасности при разработке и обеспечить защищенность ПО. А как именно обрабатываются уязвимости, и кто несет ответственность за их устранение? Сегодня хочу уделить внимание именно этой теме. Всем привет, меня зовут Денис, я заместитель начальника отдела безопасной разработки (ОБР) в ИТ-компании «СИГМА».

https://habr.com/ru/companies/sigma/articles/861482/

#анализ_уязвимостей #application_security #Security_Champion #appsec #устранение_уязвимостей #безопасная_разработка #информационная_безопасность #it_security

Что значит «SafeCode»: о чём расскажут на конференции по безопасности приложений

«Безопасный код» — понятие широкое. Так что по названию онлайн-конференции

https://habr.com/ru/companies/jugru/articles/853514/

#safecode #безопасность_приложений #application_security #appsec

NIST SP 800-63B-4 第2次公開草案のパスワード要件の変更点をまとめてみた
https://dev.classmethod.jp/articles/nist-sp-800-63b-4-2/

#dev_classmethod #Application_Security

Опыт внедрения практик AppSec/DevSecOps

Процессы разработки должны быть построены так, чтобы гарантировать предсказуемый уровень безопасности продукта на выходе. Именно с такой идеей мы приступали к модернизации наших внутренних процессов в «ЛАНИТ ― Би Пи Эм». Мы провели исследование мировых практик обеспечения безопасности, которые часто объединяют терминами AppSec (application security) и DevSecOps (development, security, and operations). Для нас было важно, что безопасность требуется не только при написании серверного кода. Фронт, инфраструктура, процессы сборки и развертывания также могут быть уязвимы. Поэтому мы обращали внимания на все эти аспекты. В этой и последующих статьях речь пойдет о наиболее интересных наших находках.

https://habr.com/ru/companies/lanit/articles/847906/

#ланит #ланит_би_пи_эм #owasp #application_security #dependency_track

We’re celebrating National Read an e-Book day and in celebrating all things digital, we want to give a shoutout to @SheHacksPurple's Alice and Bob Learn Application Security - available on Kindle as an audiobook (and SheHacksPurple reads it!)

You can get your copy here: https://www.amazon.com/Alice-Bob-Learn-Application-Security/dp/1119687357

#application_security #AppSec

WAF: интеграция в SOC через SIEM или ASOC? (Часть 2)

Преимущества интеграции SOC и WAF для мониторинга API Здесь бы хотелось рассказать, как быть с событиями которые показывают аномалии в API и как использовать эти события при интеграции с SIEM-системами. Тут мы с Сергеем попробовали разобрать наиболее частые вариации. Но если у вас есть свои примеры – добро пожаловать в комментарии! Основные полезности, для условной 1-й линии SOC можно распределить на 2 группы: Мониторинг API-активности. SOC может использовать интегрированные в WAF системы обнаружения API для мониторинга активности взаимодействия с API, включая запросы, ответы, аутентификацию и авторизацию. Это позволяет обнаруживать подозрительную или незаконную активность, такую как несанкционированные попытки доступа или использование API для атак. Обнаружение аномалий в API-трафике: Интеграция с системами обнаружения API позволяет SOC анализировать трафик и обнаруживать аномалии, такие как необычные или аномально высокие объемы запросов, необычные паттерны поведения или подозрительные изменения в обработке данных. Подобные ситуации характерны для поведенческих атак, таких как: перебор паролей, перебор идентификаторов сессии, принудительный просмотр ресурсов веб‑приложения (Forced Browsing), подстановка учетных данных. В каких ситуациях это может быть важно. Аномалия в API-трафике, связанная с резким повышение количества запросов к конечным точкам инфраструктуры содержащих аутентификационные данные, например пароли, токены и секретные ключи. На иллюстрации ниже представлено отображение таких эндпоинтов в «ПроAPI Структура» с указанием типов чувствительных данных (токен, пароль и т.д.) и количества хитов/атак.

https://habr.com/ru/companies/webmonitorx/articles/842138/

#информационная_безопасность #кибербезопасность #waf #soc #siem #asoc #application_security #api #web_security #web_application_firewall

Управление безопасностью приложений: всем выйти из сумрака

Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 профессий в сфере кибербезопасности» (а совсем недавно была статья про чудо чудесное — MLSecOps ). В этой статье хочу сосредоточиться на роли и задачах тех, кто выстраивает application security в компаниях, — руководителей и тимлидов AppSec-направлений. Подробности →

https://habr.com/ru/companies/pt/articles/837774/

#appsec #безопасная_разработка #cybersecurity #operations #development #интенсив #devsecops #управление #application_security #тимлидство