Пользовательские аннотации PVS-Studio теперь и в Java
Начиная с версии PVS-Studio 7.38, Java анализатор вслед за двумя братьями C# и C++ поддерживает пользовательские аннотации в формате JSON. Зачем они нужны и что с ними можно делать, рассмотрим в этой статье. Читать далее...
Ошибки Java по ГОСТу: обзор и примеры
Ошибки в Java по ГОСТу? Да, в этой статье мы вам расскажем, что это за ГОСТ, какие категории ошибок в нём существуют, какие из них относятся к Java, и даже покажем примеры из реальных проектов. Читать далее...
Без(д)воз(д)мездно, то есть даром
Сегодня, мои дорогие читатели, хочу поговорить об экономике или почему за программы приходится платить. Читать далее...
Фильтрация предупреждений PVS-Studio, выявляющих критические ошибки (согласно классификации ГОСТ Р 71207-2024)
ГОСТ Р 71207-2024 "Статический анализ кода" выделят класс дефектов в коде, называемых критическими ошибками. При разработке безопасного программного обеспечения (РБПО) такие дефекты должны в обязательном порядке выявляться и исправляться в приоритетном режиме. Статический анализатор PVS-Studio...
Создание плагина для Keycloak: Загрузка пользователей из внешнего API
Если вы работаете с Keycloak и сталкивались с необходимостью интеграции внешних пользовательских данных — этот материал для вас. В данной статье я подробно описываю процесс создания плагина на Java для Keycloak. Мы будем рассматривать все этапы разработки, начиная с основ и заканчивая примерами...
Инъекция блокнотом или история о том, как мы новые диагностики делали
В этой статье я немного расскажу о том, как в Java осуществляется вызов команд уровня операционной системы. Также поговорим про OS Command и Argument Injections и про то, как мы делали диагностики, которые могут помочь в их обнаружении. Читать далее...
Шатаем ActiveMQ
Пожалуйста обновите ActiveMQ после прочтения этой статьи. Рассказ об одной известной атаке на инфраструктуру крупных ИТ-проектов — брокер сообщений Apache ActiveMQ. Читать далее...
Проникновение в Jenkins или история одного взлома
Временами получается поучаствовать в разгребании последствий «взломов с проникновением» в чужие ИТ-системы, по итогам одного такого расследования и была написана эта статья. Восстановил для вас полную картину. Читать далее...
Reverse shell на Java или кошмар сисадмина
По итогам расследований нескольких инцидентов с безопасностью, рассказываю что еще из «зубастого и рогатого» бывает на свете. Еще один повод бросить это ваше ИТ и уйти в монастырь. Читать далее...
Зачем вашему проекту нужен java.policy?
Привет, меня зовут Валерия, я работаю Java-разработчиком в компании SimbirSoft. В этой статье я расскажу вам о java.policy: что это, зачем его использовать и как подключить к проекту. В некоторых проектах к исполняемому программному коду отдел информационной безопасности предъявляет повышенные...
Java, Taint и SAST: что это и зачем, и причём здесь ГОСТ 71207
На Java пишется огромное количество серверного кода. Отсюда следует, что написанные на ней веб-приложения должны быть устойчивы к специальным уязвимостям. И эта небольшая статья как раз про один из способов борьбы с ними — SAST. И ещё про то, что такое taint-анализ и как он во всём этом участвует....
IDM Midpoint — восхищение и ужас в одном флаконе. Грабли, советы, рекомендации
IDM Midpoint от Evolveum, с одной стороны, является многофункциональным продуктом с хорошими возможностями настройки под потребности любой компании. Но, с другой, сложность настройки растет по мере того, как вы отходите от стандартных описанных решений. А описано в документации, увы, мало. По мере...
Spring Cloud Gateway как шлюз для мобильных приложений
В статье будет рассмотрен способ организации инфраструктуры API шлюза для мобильных приложений. Как и в предыдущий раз мы будем использовать spring cloud gateway и keycloak. Читать далее...
Безопасный PLAINTEXT, или Выжимаем воду из камня в системе безопасности Apache Kafka
Как известно, Apache Kafka позволяет позволяет подключаться к кластеру по разным протоколам. Можно работать без авторизации, используя PLAINTEXT. Поддерживаются также протоколы с безопасностью (SASL_PLAINTEXT, SASL_SSL, SSL), но их использование требует непростой настройки и понимания нескольких...
Spring Cloud Gateway + Keycloak: полноценный пример
Всем привет! Сегодня мы посмотрим, как сделать полноценную интеграцию api шлюза spring cloud gateway и keycloak, так как мне показалось, что тема недостаточно раскрыта. С небольшими оговорками этот пример можно использовать в реальных продакшн условиях. Читать далее...
Волшебные ссылки теперь в Spring Security
Концепция волшебных ссылок (magic link) далеко не нова, однако долгое время у разработчиков не было надежного решения с полноценным комьюнити, которое позволяло бы быстро и просто реализовывать волшебные ссылки в своих приложениях. И вот, наконец, такая фича появилась в spring security. Давайте...
Секреты в Java-сервисах на Spring: где брать и как обновлять
Привет, Хабр! Меня зовут Андрей Чернов, я Java‑архитектор в СберТехе, где разрабатываю архитектуру микросервисов. Сейчас я расскажу про нюансы работы с секретами в Java‑сервисах на всеми любимом Spring Boot и про наш опыт такой работы. В современном мире практически не осталось автономных, ни с чем...
PVS-Studio соответствует требованиям ГОСТ Р 71207—2024 (статический анализ программного обеспечения)
Инструментальное средство PVS-Studio разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024, выявляет критические ошибки и может использоваться при разработке безопасного программного обеспечения. Рассмотрим функциональные возможности, реализованные в...
Назад