Axios и проблема зависимостей
Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает. Читать далее...
Поиск уязвимостей ПО: базовый минимум или роскошный максимум
Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING. Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки...
Как мы в CodeScoring модель для поиска секретов готовили
Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM. Читать далее...
Почему специалист по кибербезопасности — одна из самых востребованных профессий в 2026 году. И что нужно, чтобы им стать
Привет! Это команда Яндекс Практикума, и сегодня мы развенчаем сразу три популярных мифа о сфере кибербезопасности, поговорим о востребованных направлениях в этой сфере и расскажем о программе онлайн-магистратуры «Кибербезопасность» НИЯУ МИФИ в партнёрстве с Практикумом. Читать далее...
Закрытый контур без боли для разработчиков — миф или реальность?
Всем привет! Меня зовут Александр Барыков, я руковожу платформенной командой DevOps и являюсь лидером DevOps-комьюнити в нашей компании. Сегодня хочу поделиться опытом, который мы накопили за последние четыре года. Речь пойдет о достаточно специфической, но знакомой многим теме – организации...
Атаки на цепочку поставки ПО: виды угроз и как с ними бороться
Атаки на цепочку поставки – одна из самых устойчивых угроз для разработки программного обеспечения. По итогам OWASP Top Ten, в 2025 году проблемы с цепочкой поставки заняли третью позицию в рейтинге наиболее критических рисков безопасности веб-приложений. В случае с атаками в open source...
Мышка поселись, денежка водись: Solar appScreener вошел в шорт-лист номинации «Продукт года» по версии Tproger Awards
Всем привет! На прошлой неделе мы узнали, что наша платформа для комплексной безопасности ПО Solar appScreener вошла в шорт-лист номинации «Продукт года» Tproger Awards. Премия новая, но от сообщества типичных программистов, поэтому их признание для нас очень ценно. Да, коллеги выбрали забавный...
4 мифа про DevSecOps, которые мешают безопасной разработке
Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты...
AI-security развивается, но единого стандарта пока нет: как бизнесу защищать ML-модели и AI-агентов
Привет! Меня зовут Борис Мацаков, я Data Science инженер в Cloud.ru. Хочу поговорить о сравнительно новом направлении кибербезопасности — защите AI-систем и агентов. Каждая команда понимает безопасность AI-моделей по-своему, а за ее основу часто берут подходы классического DevSecOps. Но проблема в...
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки....
Keycloak как OIDC-провайдер для Kubernetes: наводим порядок с доступами
В какой-то момент почти в каждом Kubernetes-кластере наступает день, когда kubeconfig с правами cluster-admin перестаёт быть временным решением и внезапно становится: так исторически сложилось. Пользователей становится больше, доступы плодятся, а вопрос: кто и зачем может удалить namespace в проде?...
DevSecOps — от кода до контейнера
В выпуске CrossCheck обсуждали безопасную разработку, DevSecOps и то, почему внезапно все заговорили про контейнеры, секреты и «свои базовые образы». Читать далее...
Что показали в OWASP Top Ten 2025
Привет, Хабр! Меня зовут Дмитрий Бахтенков. С 2020 я занимаюсь коммерческой разработкой на .NET, а также пишу для медиа «вАЙТИ». В сфере информационной безопасности существует множество уязвимостей, и разработчикам сложно понять, какие из них важнее учитывать при обучении или отладке процессов...
Архитектурное ревью, или Как согласовать проект с ИБ с первого раза
Наверняка вы сталкивались с проблемой согласования фичи со службой безопасности. В большинстве случаев этот процесс превращается в головную боль для программиста из-за множества непонятных этапов и деталей. Регулярно встречая подобные проблемы в своей работе, мы во Flowwow решили внедрить процесс,...
Регуляторика РБПО. Итоги 2025 года
Привет, эксперты! В апреле мы завершили цикл обзорных статей действующей регуляторики РФ, которая прямо или косвенно отсылала бы нас к внедрению процессов и практик РБПО, а также посмотрели на будущие планы регуляторов. Наступил декабрь, пришла пора посмотреть, что произошло за год. С вами...
MLSecOps: системный взгляд на угрозы и защиту на каждом этапе разработки и внедрения моделей
Всем привет! На связи Angara Security. Сегодня Лариса Карпан, старший специалист по безопасной разработке, подготовила статью для AppSec- и DevSecOps-специалистов, а также для CISO, которые уже столкнулись с интеграцией ИИ в свои процессы и системы, но пока не знают, с какой стороны подойти к...
DevSecOps или задача трех тел
Если совершенно случайно в вашей работе возникают критические ошибки на проде, которые исправляются слишком долго. А еще, возможно, специалисты по безопасности начинают выявлять уязвимости только после релиза. Или вдруг в команде используются ручные проверки, например: сборки кода выгружаются...
OWASP Top Ten: как оценивали веб-угрозы 20 лет назад и сейчас
Первый список OWASP Top Ten был выпущен в 2004 году. И с того момента появилось 7 обновлений, последнее из которых представлено в ноябре 2025 (пока в статусе Release Candidate). Эксперты WMX проанализировали все выпуски, чтобы разобраться, как с каждым годом и даже десятилетием менялась оценка...
Назад