Поиск уязвимостей ПО: базовый минимум или роскошный максимум
Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING. Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки...
РБПО по ГОСТ: где на самом деле ломается безопасность кода
Привет, Хабр! Меня зовут Александр Сахаров, я директор по работе с партнерами в Диасофт. Мы строим экосистему Digital Q - платформу для enterprise-разработки - и сейчас решаем задачу, которая касается всех: как зашить безопасность внутрь конвейера так, чтобы она работала сама, а не превращалась в...
Мышка поселись, денежка водись: Solar appScreener вошел в шорт-лист номинации «Продукт года» по версии Tproger Awards
Всем привет! На прошлой неделе мы узнали, что наша платформа для комплексной безопасности ПО Solar appScreener вошла в шорт-лист номинации «Продукт года» Tproger Awards. Премия новая, но от сообщества типичных программистов, поэтому их признание для нас очень ценно. Да, коллеги выбрали забавный...
4 мифа про DevSecOps, которые мешают безопасной разработке
Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты...
Как персональные данные утекают из non-prod: четыре реальных сценария
Сегодня на связи Дмитрий Ларин, руководитель продуктового направления по защите баз данных, и Анастасия Комарова, менеджер по продуктовому маркетингу компании «Гарда». Мы регулярно общаемся с ИТ- и ИБ-командами, в том числе на пилотах и в ходе интервью на профильных мероприятиях. Возможно, кто-то...
Как жёсткие правила сборки релизов упростили жизнь инженерам финтеха
Перевели инфраструктуру Java-разработки высоконагруженного финтеха с SLA 99,99% на доверенный репозиторий компонентов. Это отечественные продукт из экосистемы Axiom JDK. Делимся инженерными деталями этого перехода. Читать далее...
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не...
Трактор без тракториста: почему разработка не упрощается при наличии современных инструментов
Привет, Хабр! Продолжаю делиться дискуссиями из нашего телеграм-канала Dev Q&A. На этот раз собрались поговорить о том, почему при всём богатстве инструментов — Kubernetes, CI/CD, low-code, AI-ассистенты — разработка не становится ни быстрее, ни дешевле. Собрал ключевые мысли в статью. Получилось...
Регуляторика РБПО. Итоги 2025 года
Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами...
Никакого супергеройства на проектах. Гайд, как сделать безопасность частью разработки
Привет! С вами снова Александр Симоненко, операционный директор Xilant. В первой статье трилогии о бизнес-требованиях мы разобрали, как неточные формулировки в требованиях создают уязвимости, а во второй — методики безопасных требований: INVEST, SMART, What-If и misuse-cases. В заключительной...
Репозиторий доверенного ПО: инхаус или аутсорс?
На SOC Forum одним из самых горячих дискуссий стала тема, которая ещё пять лет назад казалась нишевой, а сегодня напрямую влияет на устойчивость критической инфраструктуры: создание доверенных репозиториев ПО. В дискуссии приняли участие: Федор Герасимов, лидер сообщества FinDevSecOps, эксперты...
Делаем требования безопасными с помощью методик INVEST, SMART, What-If и misuse cases
Привет! На связи снова Саша Симоненко, операционный директор Xilant. Сегодня разбираем конкретные методики написания безопасных требований: INVEST, SMART, What-If и misuse cases. Чтобы быть в контексте, зачем они нужны и какую проблему решают, рекомендую начать с первой части трилогии — о том, как...
Почему QA должен думать о безопасности IT-продукта
Сегодня от приложения ждут не только стабильной работы, но и уверенности в безопасности. На фоне растущего числа кибератак пользователи уделяют всё больше внимания защите своих персональных данных. В связи с этим, информационная безопасность — не опция, а обязательный элемент качества ПО. Часто...
Что на самом деле дороже: безопасная разработка или ликвидация последствий уязвимостей?
Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security. На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры:...
Как мы профукали базу клиента и научились безопасности
Больше восьми лет я работал backend‑разработчиком. Мы создавали веб‑приложения для автоматизации логистики и закупок. Команда росла, процессы крепли. Всё было правильно и красиво: CI/CD, код‑ревью, споры о чистоте архитектуры и идеальном нейминге. Мир был прост, предсказуем и казалось, что так...
Анализ смарт-контрактов на примере Solidity
Блокчейн-индустрия переживает период беспрецедентного роста, при этом общая стоимость заблокированных активов (Total Value Locked, TVL) в децентрализованных финансовых протоколах превышает 200 миллиардов долларов по состоянию на 2024 год. Вместе с ростом экосистемы растет и количество инцидентов...
Тренды безопасной разработки: разбираем BSIMM 15 и сравниваем топ-10 активностей с предыдущим отчетом
Процессы безопасной разработки — это не просто набор инструментов для проверки кода. Основная концепция в том, чтобы все процессы работали как единый механизм, а безопасность была не просто дополнением, а неотъемлемой частью разработки. Фреймворк Building Security in Maturity Model (BSIMM)...
Bug2Lab превращаем баги с помощью AI в образование в CyberSec
Современное образование безопасной разработке выглядит крайне уныло: Баги старых годов оторванные от реальности, лабораторные на которые везде можно найти прохождение. Уявзимости появляются крайне быстро а делать под них стенды крайне дорого и долго. Сегодня расскажу как решаем эту проблему Читать...
Назад