🎯 Kick off 2026 with OWASP London Training Days! Join Josh Grossman’s updated 2-Day training: Building a High-Value AppSec Scanning Programme (2026). Cut through SAST, DAST & SCA noise and deliver real AppSec value.📍 Secure your spot now: https://londonowasptrainingdays2025.sched.com/event/2CR8o
#dast
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не обычные баги, которые ломают функциональность, а настоящие уязвимости (которые потом превращаются в заголовки новостей про утечки данных). Это как построить громадный замок со рвом и мощными стенами, а потом обнаружить, что в фундаменте остался забытый потайной туннель. Только в мире информационных технологий такие туннели не остаются исключительно архитектурным недочётом, а превращаются в реальные векторы атак, которые могут выстрелить по-настоящему больно – от утечки пользовательских данных до полного уничтожения инфраструктуры компании.
https://habr.com/ru/companies/securityvison/articles/980308/
#информационная_безопасность #безопасная_разработка #безопасность_кода #ssdlc #фаззингтестирование #sast #dast
Hey Fediverse. Can you get @zaproxy to 15k ⭐️?
#OpenSource #DAST #AppSec #WebAppSec #ITSec #CyberSec #PenTest #BugBountyTips
Current Stars 14500
DevSecOps для всех: как развернуть стенд за 15 минут
Перед каждой презентацией одна и та же история: собираешь инфраструктуру вручную, молишься богам DevOps и придумываешь отговорки на случай внезапных багов. С DevSecOps особенно весело: мало установить сам продукт, нужен целый зоопарк из GitLab, Kubernetes, сканеров безопасности и систем управления уязвимостями. Поэтому мы собрали DevSecOps-песочницу, которая разворачивается одной кнопкой: подождал 15 минут — готово. Всё крутится на одной виртуальной машине с K3s, управляется через Terraform и Cloud-init, а главное — воспроизводится с гарантированным результатом. Расскажу, как устроено это решение, с какими проблемами столкнулись и почему без автоматизации инфраструктуры сегодня никуда. Над проектом работала команда из К2 Кибербезопасность: я, Максим Гусев, инженер по защите ИТ-инфраструктуры, и мои коллеги — Максим Виноградов и Александр Лысенко.
https://habr.com/ru/companies/k2tech/articles/970058/
#информационная_безопасность #devsecops #terraform #cloudinit #devops #container_security #sast #dast #sca #kaspersky
Manual DAST? That's so last decade, like debugging with print() statements and hoping for the best. 🙄 Automating DAST is no longer optional; it's crucial for baking security into your CI/CD without slowing down development.
Are your DAST tools keeping pace, or are they still living in the stone age, creating bottlenecks and developer headaches?
#DevSecOps #DAST #Automation #CI_CD #CyberSecurity #SoftwareDevelopment
https://www.artificialintelligence-news.com/news/the-engineers-guide-to-automating-dast-tools/
Разбираемся с IAST
Для проведения тестирования безопасности приложения существуют различные *AST инструменты. Прежде всего, это средства для статического тестирования безопасности приложений (SAST), а также средства динамического анализа (DAST). В этой статье мы рассмотрим еще один способ анализа приложений – IAST. Мы сравним этот способ со статическим и динамическим анализом и поговорим о его достоинствах и недостатках.
Anyone have experience using the ZAP docker images to scan sites? I have a context file I’m feeding the full scan image but it appears to only scan the top level and not recurse. I can see it authenticating and running the checks, but it finds only 12 URLs whereas other scanners find 212. #dast #zaproxy
Туки-туки: где искать данные для фаззинга веб-приложений
Салют, Хабр! Меня зовут Всеволод, и я занимаюсь анализом защищенности веб-приложений в Positive Technologies. С API веб-приложений я успел познакомиться со всех сторон: как разработчик, инженер в AppSec и пентестер. В большой корпорации мне пришлось столкнуться с колоссальными объемами API. Я быстро осознал, что в таких количествах их просто невозможно проверить вручную, и начал искать способы автоматизации. В результате уже больше двух лет я занимаюсь динамическим тестированием (DAST), в частности фаззингом. В этой статье я расскажу, почему считаю DAST не менее важным, чем статический анализ кода (SAST), как новичку начать фаззить, а опытному специалисту научиться находить еще больше уязвимостей. В основе этой статьи материал моего выступления на PHDays Fest в треке Development Security. Если вам больше нравится видео, можно посмотреть его на vkvideo или на youtube .
https://habr.com/ru/companies/pt/articles/934136/
#пентест #безопасность_вебприложений #api #appsec #sast #dast
Как поймать фишеров: обзор технических средств для защиты почтового трафика
О средствах защиты от фишинга у нас в отрасли писали и говорили уже не раз, но, как показывает наш опыт, эта тема остается на волне популярности. Злоумышленники все чаще в атаках делают ставку на человеческий фактор, а люди далеко не всегда могут распознать фишинговые письма . Мы обучаем их, но плохие парни уже распробовали искусственный интеллект: в комплексе с OSINT контент получается впечатляюще персонализированным. Чтобы письма попадали в яблочко, киберпреступники ищут разные способы обхода мер защиты, используемых в организациях, — и это главный вызов 2025 года. Наша задача — закрыть все обходные пути. Я Фёдор Гришаев, в Positive Technologies занимаюсь исследованием киберугроз. Подготовил для вас обзор технических средств, которые помогут отразить современные фишинговые атаки — или снизить риски, если злоумышленники уже проникли в компанию. Разобрал принципы работы технологий и сценарии их применения. Как несложно догадаться, в статье акцент сделан на почтовом трафике. При подготовке обзора я опирался на тренды фишинговых атак и свой опыт, чтобы сделать действительно актуальную подборку.
https://habr.com/ru/companies/pt/articles/930124/
#фишинг #sast #dast #динамический_анализ_кода #песочница #sandbox #pt_sandbox #seg #secure_email_gateway #smtp
Still unsure of what ZAP does?
See this video..
https://youtu.be/yywD8ebNn6o
#zaproxy #dast #appsec
Подземелье и драконы: что общего между метро и разработкой
Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом практика безопасной разработки) похоже на то, как развивалось метро в Москве. Да‑да, именно метро! Мне кажется, многих это сравнение может немного смутить. Но на самом деле в этих двух явлениях обнаруживается большое количество похожих паттернов. Поэтому я думаю, что мы с вами сегодня вместе к этому придем. Когда я только начинала работать в информационной безопасности, мне и в голову такое не приходило, но чем больше я погружалась в тему, тем отчетливее виделись эти неожиданные сходства. Пытаться понять мир безопасной разработки — как смотреть на схему метро: сначала кажется, что это хаотичное нагромождение линий, а потом вдруг понимаешь всю продуманность этой системы. Так что устраивайтесь поудобнее — сегодня у нас будет необычная экскурсия. С одной стороны — в мир безопасной разработки со всеми его AppSec'ами и DevSecOps'ами. С другой — в московское метро с его кольцами, диаметрами и постоянно растущей сетью станций. Готовы? Тогда поехали!
https://habr.com/ru/companies/pt/articles/921356/
#appsec #devsecops #подземка #метро #московское_метро #sast #dast #безопасная_разработка #dependency_check #copilot
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в компании и в современном ИБ. Да и что далеко ходить, многие коллеги DevOps, сами считают, что с добавлением trivy или sonarqube в пайплайны, ты уже носишь гордое звание DevSecOps. Поэтому в этой статье поговорим о том, как должны выглядеть DevSecOps пайплайны, чтобы они трансформировались во что-то зрелое. В Security Gate!
https://habr.com/ru/articles/917970/
#devsecops #cicd #security_gateway #automatization #sast #dast #microservices #docker
Tyler Sanderson presents 'Strengthening Web Application Security:
Understanding Threats, Defenses, and Best Practices' July 25th at Nebraska.Code().
https://nebraskacode.amegala.com/
#WebApplicationSecurity #WebThreats #WebDefenses #WebSecurity #OWASP #XSS #CSRF #SQLInjection #CSP #SAST #DAST #Nebraska #WebVulnerabilities #DependencyScanning #webdevelopment #TechnologyConference #CyberSecurity #softwaredevelopment #softwareengineering
Okay let's talk #WednesdayWin. Please share your stories no matter how big or small. Our community: #InfoSec #CyberSec needs to hear some positive stories. All accomplishments count.
For me: 11 years in Open Source #OpenSource
According to LinkedIn I've been working in/on Open Source for 11 years. I suspect that's on the low side, between ZAP and OWASP, but whatever.
Huge thanks to Checkmarx for making possible for me to work on it full time as of last fall. It's been just over 200 days, and it's wonderful!
The @zaproxy team did some stuff in March 😎 You can get the details here:
https://www.zaproxy.org/blog/2025-04-02-zap-updates-march-2025/
Even the strongest buildings (The ones that our guy John from last week build) face real-world threats—earthquakes, storms, or even intruders. That's why we stress-test them. In software, DAST simulates live attacks against your running application, exposing weaknesses before real attackers do. Because security isn’t just about strong materials or design—it’s about surviving the real world. Attack before you get attacked. #DAST #AppSec
Giant set of #zaproxy add-on releases this morning. Including many fixes and improvements.
Here's my latest article on Medium titled "Why You Need To Bake Security Into Your CI/CD Pipelines".
I hope you find it interesting! :)
#blackduck
#cicd
#cyberark
#dast
#devops
#devsecops
#github
#hashicorp #hashicorpvault
#iac
#mendio
#sast
#sca
#terraform
#vault
#vcs
Have you ever tested Dynamic Application Security Testing #DAST part of Microsoft's Azure Edge & Platform? It can help you secure thousands of APIs, addressing challenges in endpoint discovery, authentication, and orchestration🛡️🔐 #becybersmart
https://msrc.microsoft.com/blog/2025/01/scaling-dynamic-application-security-testing-dast/
Client Info
Server: https://mastodon.social
Version: 2025.07
Repository: https://github.com/cyevgeniy/lmst