За неделю от ночных кошмаров до спокойного сна: как я автоматизировал защиту от AI-хакеров
Никто не любит быть тем парнем, который говорит "а давайте еще и защиту поставим". Особенно когда речь идет о блестящем новом AI-продукте, который должен был запуститься "еще вчера". Но когда твой корпоративный чат-бот начинает выдавать системные промпты направо и налево, а в 2 ночи тебе в Telegram...
Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов
Точно и быстро искать секрет в коде — тривиальная задача, если знаешь конкретный формат секрета и осуществляешь поиск в своём проекте. Задача становится сложнее, если твой скоуп включает несколько проектов или один большой корпоративный монорепозиторий. И эта же задача становится вызовом, если...
Как я устал тестировать LLM-системы вручную и написал универсальный сканер уязвимостей
Полгода назад я работал над внедрением RAG-системы в крупной финансовой компании. Задача была типичная: построить корпоративного чат-бота, который мог бы отвечать на вопросы сотрудников по внутренним документам. Казалось бы, что может пойти не так? Берем готовую LLM, подключаем к базе знаний,...
Обзор выпусков подкаста о проблемах DevOps
В этом обзоре мы собрали ключевые идеи и инсайты из серии подкастов «Первый день в будущем», где эксперты из крупнейших российских компаний делятся опытом внедрения современных DevOps-подходов. Они обсуждают не только вопросы автоматизации и безопасности, но и роль искусственного интеллекта в...
Безопасная разработка как игра в Dungeons & Dragons
Привет! 👋 Меня зовут Алина. Я маркетолог и давно работаю в ИТ, но с безопасной разработкой познакомилась только когда пришла в продуктовую студию по кибербезопасности Axel PRO. И знаете, эта область заинтересовала меня в процессе работы. А еще у меня есть интересное хобби — я люблю играть в...
DevOps в 2025 году: отдельные дисциплины, машинное обучение и прогноз на будущее
Привет! Меня зовут Константин Полуэктов, я solution architect в Yandex Cloud и технический эксперт в онлайн-магистратуре от Яндекса и ИТМО «DevOps-инженер облачных сервисов». В этой статье я расскажу о сфере DevOps: что изменилось за последние годы и чего ждать в будущем. Читать далее...
Не разработчик, а кулинар: почему приложение ― это салат, в который нельзя складывать испорченные ингредиенты
На первый взгляд может показаться, что между разработкой и кулинарией нет ничего общего, но на самом деле сегодня создание приложений похоже на приготовление салата: берутся овощи, мясо, масла и приправы, все смешивается ― и получается блюдо. Если хоть один ингредиент окажется плохим, то весь салат...
Подземелье и драконы: что общего между метро и разработкой
Привет, я Светлана Газизова, и, как несложно догадаться, я работаю в Positive Technologies. Занимаюсь я всяческим AppSec и всем, что к нему близко. Занимаюсь я этим серьезное количество времени — уже пятый год. Сегодня хочу рассказать вам, насколько развитие AppSec и DevSecOps (да и вообще в целом...
Frontend Risks #1: CMS Битрикс отправляет данные ваших клиентов в Ирландию
В результате проведенного мной исследования безопасности 3000 российских frontend-приложений было обнаружено, что CMS Битрикс более 11 лет передает персональные данные посетителей сайтов на территорию Ирландии. Компании рискуют получить штрафы Роскомнадзора за трансграничную передачу данных без...
Поговорим о DevSecOps и культурной трансформации в мире разработки
Киберугрозы растут, уязвимости в коде дороже, чем когда-либо, а традиционные подходы к безопасности терпят крах. Почему компании теряют миллионы, игнорируя безопасность до финального этапа разработки? Как DevSecOps меняет правила игры, превращая защиту данных в часть повседневной работы...
Security Gate (DevSecOps cicd)
Всем приветы! Меня зовут Антон, я Tech Lead DevSecOps в местной биг-тех компании. Хочу начать с кратенького предисловия, почему я решил написать что-нибудь про DevSecOps. Я довольно-таки часто сталкиваюсь с непониманием, что же автоматизируют и для чего нужны DevSecOps инженеры, где их место в...
WAF (гав-гав): гибкая настройка пользовательских правил PT AF PRO
Разберёмся, как грамотно (хотелось бы так) настраивать пользовательские правила в Positive Technologies Application Firewall, чтобы при виде атаки ваша защита не превратилась в уязвимую "истеричку". Расскажем про ключевые директивы, покажем примеры из реальной практики и обоснуем каждый шаг. Читать...
Безопасная сборка Docker-образов в CI: пошаговая инструкция
Привет, Хабр! Я Саша Лысенко, ведущий эксперт по безопасной разработке в К2 Кибербезопасность. Сейчас появилась куча инструментов для автоматизации рутинных задачи и все активно идут в эту сторону для оптимизации ресурсов и быстрых результатов. Так в DevOps внедрение CI/CD пайплайнов ускоряет...
Как работает безопасность, когда никто никому не доверяет — Zero Trust на пальцах
Вы потратили кучу времени на защиту снаружи: двухфакторка, фаерволы, бюрократическая заморочка для каждого. Это всё правильно, но один фишинговый email, одна слабая учётка — и левый юзер уже внутри вашей сети. А дальше: данные HR-отдела, финансовая информация, API — доступ ко всему, потому что...
Зашифруй или проиграешь: реальные истории провалов из-за слабой криптографии
Вы думаете, что данные защищены, потому что «все зашифровано»? Взломы из-за криптографии — это не про хакеров в черных худи с суперкомпьютерами. Чаще всего причина — простая халатность: кто-то включил TLS, но забыл отключить SSL 3.0, кто-то шифровал пароль, но на MD5 без строки salt. В этой статье...
Bad Pods: поговорим о подах-плохишах
Обычно, когда мы говорим о безопасности Kubernetes, мы прежде всего говорим о защите подов от внешних угроз, но в некоторых случаях они сами могут представлять определенную опасность. Для того, чтобы эти угрозы мог реализовать атакующий, у него должны быть доступ к кластеру, разрешение RBAC на...
Безопасность подов: взгляд пользователя K8s
Про информационную безопасность Kubernetes-кластеров много пишут с позиции специалистов ИБ. Но полезно взглянуть на эту тему глазами обычных пользователей K8s — инженеров и разработчиков. Тех, кто много работает со своими приложениями в подах, но не управляет служебными частями кластера....
Что ждёт сферу кибербезопасности в 2025 году: тренды, технологии и ключевые скиллы
В 2025 году специалисты по ИБ участвуют в разработке, анализируют угрозы до запуска продукта, выстраивают защиту в пайплайнах и помогают встроить её в архитектуру, процессы и повседневную работу всей компании. А ещё — осваивают ИИ и следят за тем, как меняются технологии. В статье рассказываем про...
Назад