RU

DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал

В марте состоялся второй эпизод DevSecOps-митапа CyberCamp, в программу которого вошли киберучения на платформе Jet CyberCamp. Три задания, максимальн…

cybercampdevsecopscybersecurityинформационная безопасностьибappsecctfkubernetessastуязвимости
Habr
RU

Роадмап по информационной безопасности

Цивилизация... Какие у вас ассоциации с этим словом? А если написать его по-другому, например, на английском. Вот так - Civilization... Ядерный Ганди?…

информационная безопасностьsocпентестмежсетевой экранкриптографияappsecdevsecops
Habr
RU

Best Practices по GitLab CI/CD: от workflow:rules и кеша до OIDC, BuildKit, ревью-окружений и безопасных раннеров

Статья получилась большой: практик много, и каждая из них важна по-своему. Я собрал материал как набор best practices: не все пункты нужны каждому про…

gitlab-cigitlab cibest practiceпайплайнpipelinegitdevopsdevsecopsgitlab runnergitlab
Habr
RU

«РБПО для бедных»: настраиваем резервное копирование

В прошлой статье мы завершили сборку конвейера безопасной разработки: настроили GitLab CI/CD, подключили Vault для безопасной работы с секретами, доба…

рбпорезервное копированиебезопасная разработкаdevsecopsбэкап виртуальных машинvmвиртуальные машины
Habr
RU

Безопасность Bitrix без иллюзий — 10 проблем для которых не нужен новый CVE

Когда говорят о безопасности, обсуждение быстро сводится к CVE/BDU Какая версия уязвима? Существует ли публичный эксплойт? И успел ли вендор выпустить…

bitrixbitrix24vulnerability managementбезопасность веб-приложенийинформационная безопасностьappsecdevsecopsкибербезопасностьуправление уязвимостямиcybersecurity
Habr
RU

«РБПО для бедных»: настраиваем сервисы безопасной разработки

В прошлой статье цикла мы закончили разворачивать инфраструктуру будущего РБПО: установили GitLab, Nexus, HashiCorp Vault, Dependency-Track и DefectDo…

vaultdevsecopsрбпобезопасная разработкаgitlabNexushashicorp vaultDefectDojoDependency-Trackнастройка
Habr
RU

Почему безопасность на этапе релиза обходится в десять раз дороже и как это исправить

Представьте типичный сценарий в средней IT-компании. Команда разработки два месяца писала новый модуль для личного кабинета. Дедлайн горит, бизнес жде…

информационная безопасностьdevsecopssastdastSCA
Habr
RU

Спросите эксперта: всё о безопасности контейнеров и DevSecOps

Привет, Хабр! Контейнеризация уже давно стала стандартом де-факто для современной разработки. Но вместе со скоростью и гибкостью Kubernetes и Docker п…

контейнеризацияdevsecopsвопросы экспертамбезопасность контейнеровкиберугрозытрендыkubernetesразработка
Habr
RU

Технический английский для security engineer: База о том как писать, говорить и проходить интервью

У многих IT/security-специалистов английский ассоциируется с чем-то огромным и неприятным: времена, артикли, неправильные глаголы, идеальное произноше…

careercvinterviewenglishcybersecuritysecurity engineerappsecdevsecopssoft skillscommunication
Habr
RU

Best Practices по Dockerfile: от базового образа и кеша до SBOM, Cosign и CI/CD

Статья получилась большой: практик много, и каждая из них важна по-своему. Я собрал её как набор best practices: не все пункты нужны каждому проекту, …

dockerfiledockerbest practicekubernetesобразыконтейнерыдокерdevopsdevsecopsконтейнеризация
Habr
RU

[Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы…

vk cloudgithub actionssupply chaindevsecopsciliumkubernetessigstoreslsasbomбезопасность
Habr
RU

Больше, чем просто безопасность, или Зачем контролировать зависимости

Привет, Хабр! Меня зовут Артём Бердашкевич, в Positive Technologies руковожу направления DevSecOps. Сегодня хочу поговорить о теме, которая с годами с…

cybersecuritydevsecopsscaлегасизависимостиcveбезопасная разработкаdockersandboxappsec
Habr
RU

Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству

Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26…

devsecopsdevopsgrafanagithubинформационная безопасностьgithub actionsкибербезопасностьnpmransomwaresupply chain
Habr
RU

Веб vs Мобилка: кто в опасности? Сравниваем безопасность двух миров

Спойлер: оба, но по-разному - и это важно понимать. Каждый раз, когда слышим «у нас все нормально с безопасностью, мы же не банк», что-то внутри сжима…

owasp top 10безопасность веб-приложенийбезопасность мобильных приложенийsupply chainCertificate Pinningidorsecure codingdevsecopsуязвимости
Habr
RU

Утопали в дефектах, пока собирали «единое окно»

«У нас было два пакета findings SAST’а, семьдесят пять CVE с критичностью — Critical, пять дублей одной и той же CVE в разных сервисах, пол солонки fa…

aspmdevsecopsapplication securityssdlcбезопасная разработкаинформационная безопасностьAI в кибербезопасностиуправление уязвимостямибезопасность приложений
Habr