Регуляторика РБПО. Итоги 2025 года
Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами...
Аутсорсинг и приказ ФСТЭК №117, теория РБПО, инструменты
Этот текст для компаний, занимающихся аутсорсом и аутстаффингом. Продвигая статический анализ кода в целом и инструмент PVS-Studio в частности, мы отдельно не выделяем компании этой направленности. Сейчас, в связи с вступлением в силу 1 марта 2026 года приказа №117, всё немного по-другому. Читать...
Что на самом деле дороже: безопасная разработка или ликвидация последствий уязвимостей?
Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security. На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры:...
Неудовлетворительно. Результаты исследования безопасности российских frontend-приложений Q2 2025
Более 50 % приложений вызывают высокорисковые API браузера, что может быть признаком наличия вредоносного кода. Почти 64 % загружают скрипты с хостов за пределами РФ. Более 70% компаний рискуют получить штрафы от 1 до 18 млн. руб. за сбор ПД с использованием баз данных, размещенных за пределами РФ....
Безопасность приложений: инструменты и практики для Java-разработчиков
Тема безопасной разработки программного обеспечения интересует всё большее количество разработчиков и руководителей. Дополнительным стимулом стал вышедший в конце 2024 года обновлённый ГОСТ Р 56939, в котором описано 25 процессов (мер) для построения безопасной разработки. Это хороший список, но...
Пользовательские аннотации PVS-Studio теперь и в Java
Начиная с версии PVS-Studio 7.38, Java анализатор вслед за двумя братьями C# и C++ поддерживает пользовательские аннотации в формате JSON. Зачем они нужны и что с ними можно делать, рассмотрим в этой статье. Читать далее...
Цикл вебинаров про разработку безопасного программного обеспечения (ГОСТ Р 56939-2024)
Обычно я пишу про статический анализ, баги и оформление кода. Однако сейчас меня притянуло к тематике РБПО (разработка безопасного программного обеспечения). Это связано с тем, что статический анализ является одним из основополагающих процессов безопасной разработки. Всё началось с цикла публикаций...
Frontend Risks #1: CMS Битрикс отправляет данные ваших клиентов в Ирландию
В результате проведенного мной исследования безопасности 3000 российских frontend-приложений было обнаружено, что CMS Битрикс более 11 лет передает персональные данные посетителей сайтов на территорию Ирландии. Компании рискуют получить штрафы Роскомнадзора за трансграничную передачу данных без...
Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)
ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio...
Необходимость статического анализа для РБПО на примере 190 багов в TDengine
Одна из важнейших составляющих безопасной разработки программного обеспечения — это статический анализ кода. Он позволяет выявить ошибки и потенциальные уязвимости на ранних этапах разработки ПО, что сокращает стоимость их исправления. Но что ещё важнее, он позволяет выявить те проблемы и дефекты...
РБПО на конвейере: как Hantis избавляет исследователя от рутины
Команда направления безопасности разработки программного обеспечения «Базальт СПО» создала инструмент, позволяющий минимизировать рутинные операции при проведении РБПО-исследований. Конвейер автоматизации Hantis был представлен на ТБ Форуме 2024, а теперь мы рассказываем о нем и здесь. Читать далее...