Безопасная сборка Docker-образов в CI: пошаговая инструкция
Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность. Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет...
Угрозы безопасности в DevOps: как интегрировать ИБ в процесс разработки?
По мере того, как компании переходят на практику DevOps для ускорения разработки и развертывания программного обеспечения, они неизбежно сталкиваются с множеством угроз информационной безопасности. Слияние процессов разработки (Dev) и эксплуатации (Ops) направлено на улучшение взаимодействия,...
Обеспечение безопасности при разработке ПО — проблемы конвейеров CI/CD и способы предотвращения угроз
Безопасность — критический аспект в разработке программного обеспечения, сам факт внедрения которого устраняет проектировочные ошибки, снижает затраты и сосредотачивает команду на использовании надежных методологий. Поделюсь нашим опытом интеграции его инструментов в создание софта (на примере...
Анализ Приказа ФСТЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации»
Рассмотрим требования к безопасности информации в средствах контейнеризации, указанные в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации», приведем разъяснения к каждому требованию. Также в статье проанализируем техническую реализацию...
Как найти поверхность атаки незнакомых приложений с помощью Natch
Поиск ошибок в программах дело творческое и интересное. Чаще всего мы ищем ошибки в своём коде, чтобы его починить. Кто-то может искать ошибки в чужом коде, чтобы его сломать или поучастовать в баунти-программе. А вот где именно искать ошибки? Какие функции тестировать? Хорошо, если программа...
Безопасная разработка, управление рисками и внутренний контроль
В настоящее время все больше компаний перестраивают свои процессы с учетом выгод от цифровизации. Потребность рынка России в цифровых продуктах растет. А с учетом текущих реалий и уходом основных производителей программного обеспечения с российского рынка возрастает проблема эффективности и...
SSDL: dev VS sec
Иллюстратор: Ольга Фурман специально для Security Vision Когда‑то народы разработчиков и безопасников жили в мире, но все изменилось, когда регулятор решил прорегулировать и их процессы тоже. Читать далее...
[Перевод] OWASP Web Security Testing Guide: как улучшить защищённость web-приложений
Open Web Application Security Project (OWASP) — одна из самых известных организаций, целью которой является улучшение защищённости приложений. Большинство специалистов в области информационной безопасности знакомы с OWASP Top Ten. У OWASP есть множество других проектов для различных этапов...