Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить
Представьте типичный сценарий в средней IT-компании. Команда разработки два месяца писала новый модуль для личного кабинета. Дедлайн горит, бизнес ждет запуска. За неделю до релиза в дело вступает отдел информационной безопасности. Запускается сканер, который выдает отчет на пятьдесят страниц с...
Спросите эксперта: всё о безопасности контейнеров и DevSecOps
Привет, Хабр! Контейнеризация уже давно стала стандартом де-факто для современной разработки. Но вместе со скоростью и гибкостью Kubernetes и Docker принесли и новые головные боли для команд безопасности. Как защитить то, что живет всего несколько часов? Как внедрить DevSecOps и не свести с ума...
Технический английский для security engineer: База о том как писать, говорить и проходить интервью
У многих IT/security-специалистов английский ассоциируется с чем-то огромным и неприятным: времена, артикли, неправильные глаголы, идеальное произношение, “надо сначала подтянуть уровень, а потом уже пробовать”. И так по кругу, до бесконечности, их идеал - недостижим, а реальный английский - это...
Best Practices по Dockerfile: от базового образа и кеша до SBOM, Cosign и CI/CD
Статья получилась большой: практик много, и каждая из них важна по-своему. Я собрал её как набор best practices: не все пункты нужны каждому проекту, но почти каждый пункт однажды всплывает на ревью, в CI или после неприятного инцидента. Я старался писать для разных грейдов: от базовых ошибок вроде...
[Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок
Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной...
Больше, чем просто безопасность, или Зачем контролировать зависимости
Привет, Хабр! Меня зовут Артём Бердашкевич, в Positive Technologies руковожу направления DevSecOps. Сегодня хочу поговорить о теме, которая с годами становится только острее — о контроле зависимостей и о том, почему привычных подходов к нему уже катастрофически не хватает. Современная разработка...
Kubernetes-аудит после Wiz и Prisma: как живут без CNAPP в 2026
В 2022–2024 западные CNAPP-платформы — Wiz, Prisma Cloud, Lacework — закрыли доступ для российских компаний. Сбер и Яндекс собрали свой стек на коленке, а вот у банков второго эшелона и финтеха с командой ИБ из 1-3 человек стало больно: Kubernetes в проде, аудит ФСТЭК через три месяца, а показать...
Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству
Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26 UTC, произошло одно из наиболее технически изощрённых событий в истории атак на цепочку поставок npm. Группировка TeamPCP опубликовала 84...
Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров
Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжимается. За этой фразой обычно стоят токены аутентификации в SharedPreferences, SQL-запросы без параметризации и Firebase без правил доступа. Эта статья...
Утопали в дефектах, пока собирали «единое окно»
«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки false positive и целая россыпь уязвимостей всех сортов и расцветок: SQLi, XSS, SSRF, RCE, IDOR, утекшие секреты, misconfigs в Kubernetes, написанные...
Один ИИнженер – десять рук: как мы исследовали LLM в AppSec
Всем привет, на связи Solar appScreener! В этой статье расскажем о нашем опыте использования ИИ в нашем собственном продукте. ИИ-агенты уже стали неотъемлемой частью процесса разработки, это больше не мимолетный хайп, а новая реальность. По данным исследования Sonar (State of Code Developer Survey...
А сейчас я покажу, откуда на вайбкод готовилось нападение
Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов,...
Поговорим о планировании внедрения DevSecOps
DevSecOps по-прежнему часто сводят к подключению сканеров в CI/CD. Дальше сценарий предсказуем: пайплайн замедляется, отчёты копятся, команда теряет к ним интерес. Проблема обычно не в инструментах, а в том, что их внедряют поверх неизменённых процессов. В статье — о том, как подойти к DevSecOps...
ИИ взломали. Кто бы мог подумать?
В Git in Sky мы последние полтора года плотно занимаемся безопасностью AI-контуров: аудируем интеграции, разбираем архитектуру доступов, помогаем командам выстроить нормальный контроль над тем, что происходит между их данными и языковыми моделями. За 2025-2026 годы произошло достаточно публичных...
mTLS: руководство — от теории к практике с управлением сертификатами и защиты сервисов
Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто...
Axios и проблема зависимостей
Как взлом одного npm-аккаунта за 3 часа распространил RAT на 174 000 пакетов и почему стандартные инструменты вроде NPM Audit это не поймали. Разбираем инцидент с Axios: механику атаки, слепые пятна в CI/CD и то, что реально работает. Читать далее...
Поиск уязвимостей ПО: базовый минимум или роскошный максимум
Привет, Хабр! Меня зовут Артем, я являюсь руководителем центра технической экспертизы по анализу защищенности в AKTIV.CONSULTING. Сегодня я хочу затронуть тему поиска уязвимостей программного обеспечения при эксплуатации и разобраться, чем это является на практике: базовым минимумом или все-таки...
Как мы в CodeScoring модель для поиска секретов готовили
Расскажем, как нам удалось повысить качество определения истинных секретов в результатах сканирования кода с 0.70 до 0.90 PR AUC с помощью LLM. Читать далее...
Назад