RU

Жизненный цикл API-токенов: От генерации до компрометации

JWT не защищает от кражи. Подпись гарантирует, что токен не подделан, но не мешает злоумышленнику использовать его, если тот оказался в чужих руках. В…

jwtjwt tokenjwt authjwt authenticationappsecsecurityfrontendfront-endfront-end разработкаfrontend-разработка
Habr
RU

Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени

Теневые API редко появляются из злого умысла. Чаще это побочный эффект быстрой разработки: временный маршрут для пилота, отдельная точка доступа для м…

codescoringshadow apiapi securityappsecинформационная безопасностьowaspapi gatewayаудит безопасностиуязвимости api
Habr
RU

DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал

В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимальн…

cybercampdevsecopscybersecurityинформационная безопасностьибappsecctfkubernetessastуязвимости
Habr
RU

Роадмап по информационной безопасности

Цивилизация... Какие у вас ассоциации с этим словом? А если написать его по-другому, например, на английском. Вот так - Civilization... Ядерный Ганди?…

информационная безопасностьsocпентестмежсетевой экранкриптографияappsecdevsecops
Habr
RU

Рантайм-безопасность на Go и eBPF: что это за класс инструментов и зачем он нужен

Антивирус и сканер проверяют систему в какой-то момент и уходят. А между двумя проверками остаётся окно, и в нём обычно и случается компрометация. Ран…

ebpf linux что этоebpfядро linuxappsec
Habr
RU

ASOC from scrap. Как реализовать автоматизацию DevSecOps контролей за несколько вечеров, используя OpenSource и LLM

Привет, Хабр! Сегодня я хочу поделиться своим опытом разработки ASOC платформы. В статье я расскажу о преимуществах такого решения, затем оп…

pythonfastapipostgresqlgrafanaappsecdevopsasocбезопасная разработка
Habr
RU

Я нанял себе AI-пентестера: как LLM помогают мне искать уязвимости быстрее

Привет, друзья! Сегодня хочу поговорить об одной из самых обсуждаемых тем последних лет — использовании AI в пентесте. За последние два года вокруг LL…

информационная безопасностьai-агентыmcp-serverпентестhexstrike aibugbountyуязвимостиoffensive securityappsecии
Habr
RU

Безопасность Bitrix без иллюзий — 10 проблем для которых не нужен новый CVE

Когда говорят о безопасности, обсуждение быстро сводится к CVE/BDU Какая версия уязвима? Существует ли публичный эксплойт? И успел ли вендор выпустить…

bitrixbitrix24vulnerability managementбезопасность веб-приложенийинформационная безопасностьappsecdevsecopsкибербезопасностьуправление уязвимостямиcybersecurity
Habr
RU

«РБПО для бедных»: сказ о том, как стартап безопасность прикручивал

Сказка — ложь, да в ней намек, разработчикам урок. В некотором опенспейсе, в некотором коворкинге завелся один стартап. С кофе-машиной, горящими дедла…

рбпобезопасная разработкастартапыконвейерDevSecOps для стартаповci cdappsecразработка безопасного повнедрение РБПО
Habr
RU

Технический английский для security engineer: База о том как писать, говорить и проходить интервью

У многих IT/security-специалистов английский ассоциируется с чем-то огромным и неприятным: времена, артикли, неправильные глаголы, идеальное произноше…

careercvinterviewenglishcybersecuritysecurity engineerappsecdevsecopssoft skillscommunication
Habr
RU

Трансформер в on-premise AppSec: как мы встроили ML-модель для классификации секретов в продукт без GPU

Рассказываем, как мы интегрировали CodeBERT-based модель классификации секретов в production-продукт с жёсткими ограничениями по железу, сократив врем…

appseconnxmlopsopensourceоптимизацияcodescoringml
Habr
RU

Больше, чем просто безопасность, или Зачем контролировать зависимости

Привет, Хабр! Меня зовут Артём Бердашкевич, в Positive Technologies руковожу направления DevSecOps. Сегодня хочу поговорить о теме, которая с годами с…

cybersecuritydevsecopsscaлегасизависимостиcveбезопасная разработкаdockersandboxappsec
Habr