4 мифа про DevSecOps, которые мешают безопасной разработке
Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет). На самом деле DevSecOps — это не про страдания и бесконечные отчеты...
Чем занимается DevSecOps? Обзор инструментов
В материале мы разберемся, чем на практике занимается DevSecOps, какие инструменты используются в повседневной работе. Поговорим об SSDLC и откуда в этой аббревиатуре появилось слово «Security», а также в какой момент проекту стоит задуматься о внедрении безопасного жизненного цикла разработки....
Безопасность кода: почему это должно волновать разработчика с первой строки и до релиза?
Вы допилили очередной модуль для своего проекта. Код исправлен, логика работает как часы, все тесты и сборки зелёные. Жмёшь запуск – всё летает. Кажется, что задача в кармане, можно расслабиться и идти отдыхать. Однако этот на первый взгляд идеальный код может скрывать невидимые лазейки. Причём не...
OWASP ZAP для начинающих: как провести аудит безопасности веб-приложений
В последние годы заметно вырос интерес к таким ролям, как инженер по безопасности приложений, DevSecOps-инженер, а также тестировщик на проникновение. Именно такие специалисты интегрируют механизмы безопасности в процессы разработки и эксплуатации программного обеспечения, выявляют уязвимости на...
Несколько правил организации багатона по кибербезопасности
Привет! Это Маша из AppSec Альфа-Банка. Недавно мы провели первый (для себя) багатон по кибербезопасности, прошедший при совместной работе ИТ, AppSec, команд Внутрикома и DevRel. Главными целями были пропаганда безопасной разработки и сближение разработчиков и команды AppSec. Расскажем, как мы...
Как решить проблему уязвимостей бизнес-логики? Поломать приложение еще до написания кода
Всем привет. Меня зовут Нияз Кашапов, я AppSec Lead в СберМаркете. Улучшаю процессы безопасной разработки уже более 5 лет. Начинал карьеру в финтехе, где занимался безопасностью кода, фич и бизнес-процессов в онлайн-банкинге. А сейчас продолжаю начатое в одном из самых быстрорастущих игроков на...
Настраиваем Git server hook в GitLab On-Premise для защиты кода от вмешательства злоумышленников
Как убедиться в том, что коммиты в продуктовых репозиториях «настоящие»? То есть отправлены тем человеком, имя которого указано в коммите. Мы с коллегами из команды DevOps задались целью построить процесс, который будет давать нам полностью прозрачную картинку, и у нас это получилось. Эта статья...
SSDL: dev VS sec
Иллюстратор: Ольга Фурман специально для Security Vision Когда‑то народы разработчиков и безопасников жили в мире, но все изменилось, когда регулятор решил прорегулировать и их процессы тоже. Читать далее...
Чем занимается AppSec? Безопасность внутренних веб-ресурсов
Довольно долгое время вероятным нарушителем считался только злоумышленник из интернета. На сегодняшний день компании весьма неплохо научились защищать внешний периметр, по крайней мере, важные активы. Но внешние ИТ-ресурсы — это лишь вершина айсберга. Во внутреннем периметре любой компании...
Security Champions: безопасность через мотивацию и бенефиты
Всем привет! Меня зовут Артём Пузанков, я руководитель направления безопасной разработки в МТС Digital. В этой статье я расскажу о мотивации и процессах внедрения концепции Security Champions на практике. Читать далее...
Secure by Design: с чего начинается безопасность продукта
Можно ли при идеальном коде и защищённой инфраструктуре иметь серьёзные проблемы в безопасности продукта? Защитят ли нас полностью современные средства инфраструктурной защиты, анализа кода? А что, если нет? Давайте подумаем об этом на отвлечённых примерах из практики. Привет, Хабр! Меня зовут...
Построение архитектуры с использованием формальных моделей безопасности
Приветствую, дорогие читатели, меня зовут Алексей Федулаев. Я работаю на позиции DevSecOps в компании Bimeister и делаю наши продукты безопаснее. Данная статья будем по мотивам моего выступления на конференции Highload++ 2022, где я рассказывал про “Построение архитектуры с использованием...
Кто такие Security Champions?
Всем привет! Меня зовут Артём Пузанков, я DevSecOps-инженер в департаменте защиты приложений VK. Хочу рассказать о том, зачем команде разработчиков нужны Security Champions и чем они отличаются от AppSec-аналитиков. Читать далее...
Ложнопозитивный WAF, или Как (не) купить себе кирпич
Всем привет! Меня зовут Николай Шуляев, и это моя вторая статья на Хабре (первая – тут). В этот раз я хотел бы поднять достаточно важный для меня и отчасти провокационный вопрос: Так ли нужен WAF? Читать далее...
Основные метрики бесперебойности облачных IT-систем
Освещаем тему отказоустойчивости облачных ИТ-систем и рассказываем, как мы в MANGO OFFICE решаем эти вопросы. Читать далее...
Чем занимается AppSec?
Не так давно мне в очередной раз задали вопрос: «Чем занимается AppSec?». И обычно, отвечая на этот вопрос в двух словах, я чувствую, что должен дать больше информации. Поэтому решил подготовить эту статью. Читать далее...
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно сталкиваемся с различными нюансами и сложностями при...
DevSecOps by Swordfish Security. Часть вторая
Продолжение статьи про комплексный подход реализации DevSecOps. В первой части были рассмотрены индустриальные вызовы, цели и задачи инструментов класса ASOC, Оркестрация и Корреляция. Первая часть: https://habr.com/ru/company/swordfish_security/blog/596817/ Читать далее...
Назад