RU

Vibe coding без иллюзий: как ИИ ускоряет разработку и ломает безопасность

Разработчики используют GitHub Copilot, Claude Code, Cursor, Codeium, Tabnine, локальные LLM и внутренние AI-агенты не только для генерации тестов или…

CursorClaude CodeCopilotVibe codingвайб-кодингвайб-программированиеDevSecOpsMLSecOpsAI SASTINFERA AI.SafeCode
Habr
RU

«РБПО для бедных»: проверяем CI/CD-конвейер на реальных уязвимостях

За шесть предыдущих выпусков мы собрали собственный конвейер безопасной разработки: развернули виртуальные машины, подняли инфраструктуру из GitLab, V…

рбпобезопасность веб-приложенийбезопасная разработкаDevSecOpsreactsecure developmentрбпо для бедныхci cdинформационная безопасностьстартапы
Habr
RU

Тёмная сторона Go: разбор живых уязвимостей с продакшена и инструменты против них

Тёмная сторона есть, наверное, у каждого языка. У Go она выражена слабее: язык структурный, понятный, неплохо защищён по умолчанию. Но это не индульге…

Gogolangинформационная безопасностьбезопасная разработкаHTTP request smugglingJWTлогированиеgovulncheckDevSecOpsOWASP
Habr
RU

PII-Shield: режем персональные данные в логах до того, как они доехали до ELK

Сначала хотелось просто скрывать случайные токены по энтропии. Потом выяснилось, что UUID, trace id и номера карт ломают эту идею, и пришлось собирать…

PIIперсональные данныемаскирование логовKubernetessidecarKubernetes operatorGoсекретытокеныDevSecOps
Habr
RU

«РБПО для бедных»: разворачиваем сервисы безопасной разработки

В прошлой части цикла мы подготовили фундамент будущего РБПО: развернули виртуальные машины, настроили Ubuntu Server, сеть, брандмауэр и Docker. Други…

рбпобезопасная разработкастартапыDevSecOpsразвертывание GitLabуправление секретамиHashiCorp Vaultконвейер безопасной разработкиdefectdojoDependency-Track
Habr
RU

«РБПО для бедных»: разворачиваем виртуальные машины

В прошлой статье цикла «РБПО для бедных» мы разобрались, что такое разработка безопасного программного обеспечения, зачем она нужна стартапам и как мо…

рбпобезопасная разработкавиртуальный серверстартапыDevSecOpsразработка безопасного поci cdвиртуальные машины
Habr
RU

Всё об информационной безопасности. Кибербезопасность. DevOps, CI/CD. Хакеры. Алексей Федулаев

Информационную безопасность часто представляют как скучную «айтишную охрану» — поставил антивирус, настроил пароли и можно спокойно спать. В реальност…

информационная безопасностькибербезопасностьDevSecOpsоблачная безопасностьDevOpsкарьера в ИБbug bountyred teamKubernetes securityпентест
Habr
RU

Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1

GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — и…

github actionsci cdбезопасность CI CDsupply chain атакиpull_request_targetGitHub secretsDevSecOpsGitHub Actions security
Habr
RU

node-ipc снова взломали — но не код, а домен за $9. Разбор атаки через DNS-туннели, которой не увидел ни один SIEM

npm снова горит — и на этот раз атакующим даже не пришлось ломать код. Разбираем свежую supply chain-атаку на node-ipc , где доступ к популярному npm-…

node-ipcnpmsupply chain attackDNS tunnelingDNS exfiltrationSIEMDevSecOpsnpm securityNode.jscybersecurity
Habr
RU

Вы пустили ИИ-агента в репозиторий, теперь разбираемся, что он может сломать

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился к…

ИИ-агентыбезопасностьOWASPsupply chainClaude Codeprompt injectionDevSecOps
Habr
RU

ASOC на коленке: как я навайбкодил замену DefectDojo для своих задач с обогащением из БДУ ФСТЭК

Когда я начал разбираться, чем в open source можно закрыть задачу ASOC / Vulnerability Management, выбор оказался довольно грустным. По сути единствен…

ASOCAppSecDevSecOpsDefectDojovulnerability managementБДУ ФСТЭКon-premiseair-gappedGoPostgreSQL
Habr
RU

Когда pull request выглядит нормальным, но ревью на нём всё равно зависает

В AI-first разработке в продукт прилетает всё больше pull request от людей с разной глубиной контекста. Формально такие PR могут выглядеть нормально, …

code reviewpull requestревью кодаAppSecDevSecOpsAI code reviewGitHubLLMбезопасная разработкаанализ кода