MLSecOps: системный взгляд на угрозы и защиту на каждом этапе разработки и внедрения моделей

Всем привет! На связи Angara Security. Сегодня Лариса Карпан, старший специалист по безопасной разработке, подготовила статью для AppSec- и DevSecOps-специалистов, а также для CISO, которые уже столкнулись с интеграцией ИИ в свои процессы и системы, но пока не знают, с какой стороны подойти к вопросам безопасности. Это, по сути, «MLSecOps для самых маленьких». Просим опытных экспертов в области безопасности AI проходить мимо и не бросаться помидорами, статья рассчитана на новичков в данной области. Также хотим подчеркнуть, что данный материал относится ко всем типам ML-моделей, включая генеративный ИИ (GenAI) и предиктивный ИИ (PredAI).

https://habr.com/ru/companies/angarasecurity/articles/976798/

#devsecops #mlsecops #appsec #разработка #secure_by_design #иимодель

24 hours until the CfP for "SunSecCon 2026" closes: https://papercall.io/cfps/6460/submissions/new

#cfp #conference #Security #Devsecops #Opsec #Infrasec #Ai #Network security #Appsec

Healthcare ML needs more than a good AUC. This guide walks through secure MLOps from FHIR ingestion to #Kubernetes model serving (KServe), including secrets, CI/CD, and monitoring patterns that fit PHI constraints.

Read the full guide: https://codelabsacademy.com/en/blog/end-to-end-secure-mlops-healthcare-fhir-kubernetes?source=mastodon

#MLOps #HealthcareAI #DevSecOps

AI-native SAST vs AI-augmented SAST is like central air vs a window unit on a boiling day.
One cools a room. The other cools the whole house.

That’s the difference architecture makes.

@DryRunSecurity breaks down why bolting LLMs onto legacy SAST isn’t enough—and what true AI-native looks like.
Real-time, scalable, contextual risk detection across your entire codebase.

Read the post: https://na2.hubs.ly/y0fDZQ0

#appsec #ai #security #devsecops #dryrunsecurity

DevSevOps или задача трех тел

Если совершенно случайно в вашей работе возникают критические ошибки на проде, которые исправляются слишком долго. А еще, возможно, специалисты по безопасности начинают выявлять уязвимости только после релиза. Или вдруг в команде используются ручные проверки, например: сборки кода выгружаются вручную, а ИБ их «бесконечно долго» сканируют и отдают вместе со своим рукописным отчетом. Эта статья по мотивам моего доклада на UWDC для тех, кто хочет глубже разобраться в DevSecOps и больше узнать про пользу, которую он может принести. Поговорим о том, как находить баланс между технологиями и людьми, достигать результата, и, главное, какие ошибки проще предотвращать, чем потом исправлять. Меня зовут Павел, я руководитель направления Professional Services в Orion soft. Мы занимаемся экспертным аудитом и решением сложных задач, а Orion soft производит программное обеспечение для инфраструктурного слоя, в том числе контейнеризации и виртуализации (Nova и zVirt). Мы тоже не сразу пришли к DevSecOps и поломали немало граблей, поэтому мне есть чем поделиться.

https://habr.com/ru/companies/orion_soft/articles/930080/

#devsecops #devops #uwdc #иб #инфраструктура #процессы_разработки

🛡️ Stop guessing with AI permissions! 🤔

The #AI Privilege Guardian audits your agents against least-privilege guidelines and helps you fix vulnerabilities fast. 😮

📉 Right-size access. 📈 Boost your security score.

Get your evaluation: https://api.cyfluencer.com/s/ai-privilege-guardian-24234

#AISecurity #InfoSec #DevSecOps #CyberSecurity

Watch out: 19 malicious extensions on Visual Studio Code marketplace have been found hiding Trojans in fake PNG files, using a tampered dependency with 9 Billion+ downloads.

Read: https://hackread.com/malicious-vs-code-extensions-trojan-fake-png-files/

#VSCode #Malware #CyberSecurity #SupplyChain #DevSecOps

Software development in 2026: Curing the AI party hangover https://www.developer-tech.com/news/software-development-in-2026-curing-ai-party-hangover/ #developers #coding #devsecops #vibecoding #infosec #cybersecurity #ai #tech #news #technology

🚨 Supply Chain Attack Simulation on Drupal (PoC, not a CVE)

What if a malicious actor hijacked the update server for your favorite CMS?
I built a full lab scenario to demonstrate how it could happen — and how to defend against it.

🔬 Techniques covered:

MITM + rogue CA, fake update feeds, trojanized package → RCE & persistence.
Full doc + PDF PoC.

Full documentation: attack steps, scripts (in PDF), hardening tips

⚠️ Not a Drupal 0-day — this is a controlled, educational simulation for awareness and training.

💡 Why it matters

Supply chain attacks are no longer theoretical.
This demo helps Blue Teams, Red Teams, developers, and trainers strengthen detection, review processes, and update security.

👉 Repo :
https://github.com/privlabs/-Supply-Chain-Attack-Simulation-on-Drupal-RCE-via-Malicious-Update-Server-PoC-not-a-CVE-

Questions or feedback?
DM me or email me (contact in README).

All in lab, all safe

#cybersecurity #infosec #securityresearch #offensivesecurity #blueteam
#redteam #supplychainsecurity #drupal #websecurity #devsecops
#softwaresecurity #rce #mitm

Jesus f*cking christ. I don't know what those morons thought, but indirectly forcing IT departments to fully automate the renewal of #TLS certificates (manually renewing every month is infeasible) does not make certificates more secure. It makes them even less secure because no human will look at the certificates and do the "do we still need this one?" test anymore. #DevOps #DevSecOps https://en.wikipedia.org/wiki/Certificate_authority#Baseline_requirements

🔐 Security ist kein Last-Minute-Feature.

Wer #SecurityByDesign früh umsetzt, verhindert teure Fixes und Risiken wie im Fall von Subaru – verursacht durch eine Webapplikation mit schwacher Sicherheitsarchitektur.

In seiner aktuellen Kolumne «Schlicht und einfach» zeigt @madmas, wie Shift Left und #DevSecOps helfen, #Security als durchgehende Verantwortung früh im Entwicklungsprozess zu verankern:

👉 https://www.inside-it.ch/schlicht-und-einfach-security-by-design-20251204

#CyberSecurity #SoftwareArchitecture #WeAreKarakun

Tomorrow! Get ready for our Anchore Open Source live stream at 12 PM PT. Dive into Syft, Grype, and more. Don't miss out! https://www.youtube.com/watch?v=vQTvAPCvr2c #DevSecOps

Leanpub Book LAUNCH 🚀 Code, Chips and Control: The Security Posture of Digital Isolation by Sal Kimmich

Through the lens of the top 100 hacks since 1985, learn cybersecurity through real-world examples of what went wrong to convince us of “best practices".

Watch on our blog here:

https://leanpub.com/blog/leanpub-book-launch-code-chips-and-control-the-security-posture-of-digital-isolation-by-sal-kimmich

#books #leanpublishing #selfpublishing #booklaunch #cybersecurity #infosec #securityarchitecture #supplychainsecurity #opensource #devsecops #hardwaresecurity #softwaresecurity #zerotrust

Leanpub book LAUNCH 🚀 Code, Chips and Control: The Security Posture of Digital Isolation by Sal Kimmich

Watch here: https://youtu.be/KCURt43Rqhg

#books #leanpublishing #selfpublishing #booklaunch #cybersecurity #infosec #securityarchitecture #supplychainsecurity #opensource #devsecops #hardwaresecurity #softwaresecurity #zerotrust #leanpubpodcast

Tomorrow! Get ready for our Anchore Open Source live stream at 12 PM PT. Dive into Syft, Grype, and more. Don't miss out! https://www.youtube.com/watch?v=vQTvAPCvr2c #DevSecOps

In this episode of the Leanpub Podcast, Sal Kimmich offers a deep technical look at the evolving security landscape across hardware, software, and open-source ecosystems.

Watch & read on our blog here:

https://leanpub.com/blog/the-leanpub-podcast-feat-sal-kimmich-author-of-code-chips-and-control-the-security-posture-of-digital-isolation

#books #leanpublishing #selfpublishing #cybersecurity #infosec #securityarchitecture #supplychainsecurity #opensource #devsecops #hardwaresecurity #softwaresecurity #zerotrust #leanpubpodcast

NEW! A Leanpub Podcast Interview with Sal Kimmich, Author of Code, Chips and Control: The Security Posture of Digital Isolation

Watch here: https://youtu.be/kfeJVv7boNs

#books #leanpublishing #selfpublishing #cybersecurity #infosec #securityarchitecture #supplychainsecurity #opensource #devsecops #hardwaresecurity #softwaresecurity #zerotrust #leanpubpodcast

100 idées de workflows cybersécurité avec n8n, et c’est open source, prêt à l’emploi ⬇️

Le dépôt GitHub de CyberSecurityUP liste 100 idées de blueprints d’automatisation pour n8n, couvrant l’offensive (Red Team), la défense (Blue Team/SOC), l’AppSec/DevSecOps et la sécurité plateforme. Chaque workflow est décrit avec :
- Un objectif simple (ex: détection de beaconing, rotation de certifs TLS)
- Les intégrations nécessaires (APIs, outils comme Shodan, MISP, Semgrep, etc.)
- Un schéma de flux type (nœuds HTTP Request, IF/Switch, Cron, etc.)

⚔️ Pour les Red Teams (30 workflows) :
- Hub de recon de sous-domaines (Subfinder + Shodan)
- Détection de changements de surface d’attaque (Nmap/Naabu)
- Orchestration de campagnes GoPhish ou tests d’évasion AV/EDR
- Gestion d’infra C2 (création, hygiène, extinction planifiée)

🛡️ Pour les Blue Teams/SOC (35 workflows) :
- Ingestion & normalisation de feeds TI (OTX, MISP, VirusTotal)
- Micro-SOAR pour enrichir les IOC à la demande
- Détection de tunneling DNS
- Automatisation de blocages via Slack + génération de briefings quotidiens

♻️ Pour l’AppSec/DevSecOps (25 workflows) :
- SAST à la PR (Semgrep), DAST nocturne (ZAP)
- Analyse de composition logicielle (Trivy/Grype + SBOM)
- Scanning IaC (Checkov), détection de secrets, contrôles CSP/CORS

📜 Sécurité plateforme & gouvernance (10 workflows) :
- Digest de vulnérabilités priorisé (NVD + EPSS/KEV + CMDB)
- Planificateur de rotation de certifs TLS
- Vérificateur d’intégrité des sauvegardes (RPO)
- Purple loop pour boucler exercices Red/Blue Team

⚠️ Bonnes pratiques incluses :

- Utiliser `HTTP Request` pour les APIs, `Execute Command` pour les scanners
- Gérer les credentials n8n proprement + idempotence (clés de déduplication)

📌 Le dépôt : https://github.com/CyberSecurityUP/n8n-CyberSecurity-Workflows

Pourquoi c’est utile ?

- Gagner du temps: pas besoin de réinventer la roue, les schémas sont prêts à adapter.
- Collaboratif: la communauté peut contribuer ou fork le projet.
- Pédagogique: idéal pour comprendre comment enchaîner des outils concrets (ex: comment lier un scan Trivy à une alerte Slack).

Ensuite, adaptez chaque workflow à votre contexte spécifique (outils, API keys, politiques internes), et ajoutez-y vos agents IA si vous le souhaitez

📢les workflows offensifs doivent rester dans un périmètre autorisées et encadré

💡 Un workflow qui vous manque ? Le dépôt est open source: proposez vos idées ou améliorations via les issues.

#Cybersec #Automatisation #n8n #RedTeam #BlueTeam #DevSecOps #SOC #OpenSource #SecurityAutomation #PurpleTeam #AppSec #DFIR #ThreatIntel #Workflows #GitHub

Ever wanted to break into a bank legally? 😇
Then catch this: a deliberately vulnerable banking app on GitHub with 40+ security holes waiting to be found.

It’s a perfect playground for infosec folks, pentesters, DevSecOps engineers, and developers who think “suffering builds character.”

Intentionally broken.
Completely safe to practice on.

https://github.com/Commando-X/vuln-bank

#Infosec #Pentest #DevSecOps #Security #AppSec #Learning

Anchore Enterprise 5.24 is out. This release adds native filesystem analysis, allowing users to assess compliance for mounted VMDKs and source archives without external tools. The release also includes EPSS and KEV data integration for reports.

Webinar details: https://go.anchore.com/anchore-enterprise-Q4-release.html

#DevSecOps #SBOM #Cybersecurity