SCA на языке безопасника

За последнее время внутри компании у нас появилось несколько энтузиастов, заинтересованных в DevSecOps по совершенно разным причинам. Кому-то задал неудобный вопрос заказчик, кто-то решил встать на путь саморазвития, а у кого-то близкий человек – AppSec, и хочется иметь возможность поддерживать...

Все блоги / Про интернет

Композиционный анализ при помощи CodeScoring

Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить в ПО сторонние компоненты с известными уязвимостями. В статье рассмотрим внедрение Codescoring Johnny применительно к Azure DevOps Server в процесс...

Все блоги / Про интернет

Выявление biderectional unicode троянов

Двое специалистов в своей довольно старой публикации Trojan Source: Invisible Vulnerabilities описали одну из интересных атак, суть которой заключается в следующем: при просмотре исходного кода вы видите одно, но при компиляции в конечном приложении будет реализована совсем другая логика. Суть...

Все блоги / Про интернет

Выявление bidirectional unicode троянов

Двое специалистов в своей довольно старой публикации Trojan Source: Invisible Vulnerabilities описали одну из интересных атак, суть которой заключается в следующем: при просмотре исходного кода вы видите одно, но при компиляции в конечном приложении будет реализована совсем другая логика. Суть...

Все блоги / Про интернет

[Перевод] Разработка бессерверного защищённого тайника для передачи сообщений

Однажды я наткнулся на вот эту потрясающую статью (здесь я о ней порассуждал), которая навела меня на одну мысль. Как я подошёл бы к задаче разработки тайника для передачи сообщений? И, если уж мы об этом заговорили — подумаем о том, что нам нужно от подобной системы. Полагаю, что следующие...

Все блоги / Про интернет

AppSec-платформа для сотен миллионов строк кода

Сегодня я хочу рассказать про нашу внутреннюю AppSec-разработку – платформу Security Gate. Начну с предпосылок для ее создания, подробно опишу архитектуру решения и поделюсь открытиями и маленькими неожиданностями, которые ждали нас (и могут ждать любого в рамках построения похожего инструмента). В...

Все блоги / Про интернет

Опасность устарела: несколько важных нюансов в новых стандартах C++

Undefined behavior (UB) — боль, знакомая каждому разработчику со стажем; эдакий «код Шредингера», когда не знаешь, правильно тот работает или нет. К счастью, стандарты языка С++20/23/26 привнесли относительно неопределенного поведения кое-что новое. И довольно важное, если вы — архитектор ПО, а...

Все блоги / Про интернет

[Перевод] Чек-лист по разработке облачных приложений. Часть 2 — аспекты безопасности

Всем добрый день, я Станислав Тибекин, CEO компании Nixys. Мы продолжаем серию переводов статей Эяля Эстрина из AWS про особенности создания cloud-native приложений. В этой части обсудим вопросы безопасности. Посмотреть чек-лист...

Все блоги / Про интернет

IDE для разработки средств защиты в формате no-code

Парадигма, к которой мы привыкли, это продукты под ключ: уже готовые решения с определенным набором функций, опций и кнопочек, со своим конкретным визуалом, подобранным под внутреннюю архитектуру. У каждого вендора свое видение не только о потребностях, но и о том, сколько он готов открыть...

Все блоги / Про интернет

Как организовать безопасность контейнеров на базе Open Source

Привет Хабр! Меня зовут Татьяна Хуртина, и я программист в группе внутренней автоматизации ИБ VK. Недавно я выступала на киберфестивале PHDays c докладом про наш подход для мониторинга безопасности контейнеров. На примере опыта в inhouse-облаке Дзена я рассказала, как можно использовать open source...

Все блоги / Про интернет

«Я стал тимлидом и боюсь». Что почитать и зачем

Стресс, связанный с переходом на менеджерскую роль, способен пошатнуть любые, даже самые крепкие нервы. А если ваше решение стать руководителем желанное и осознанное, то вы легко можете загнать себя в ловушку из двух стен: тревожности и перфекционизма. Меня зовут Александр Шиндин, я — технический...

Все блоги / Про интернет

Вы все еще пишете многопоточку на C++ с ошибками синхронизации?

Привет, коллеги! В этой статье я покажу свой подход к написанию многопоточного кода, который помогает избежать типовых ошибок, связанных с использованием базовых примитивов синхронизации. Демонстрация идеи будет проходить на живых примерах кода на современном C++. Большинство описанных решений я...

Все блоги / Про интернет

Евгений DockerAuthPlugin’ович Онегин

Интересное начало, не так ли? Меня зовут Роман, и я младший инженер информационной безопасности Ozon. В этой статье я расскажу о проблеме отсутствия авторизации доступа к Docker daemon / Docker Engine API / командам Docker при работе с контейнерами в экосистеме Docker и как это можно решить при...

Все блоги / Про интернет

Разработка аудио процессора

Хабр, привет! Меня зовут Даниил, и я представляю команду студентов, которая занимается pet-проектом по созданию аудио процессора. Наша цель - разработать устройство, которое сможет решить ряд проблем в аудио сфере. Мы уверены, что наше устройство будет полезным и интересным для большого числа...

Все блоги / Нетбуки и Планшеты

Респонс по да Винчи: как мы перевернули систему работы security-аналитика и что из этого вышло

Как обычно происходит стандартное реагирование в SOC? Получил аналитик оповещение об инциденте от какой-то системы безопасности, посмотрел логи SIEM, чтобы собрать дополнительные данные, уведомил заказчика и составил для него короткий отчет о произошедшем. А что дальше? А дальше — переключился на...

Все блоги / Про интернет

Трагические микрозаймы, украденные креды: какие Android-зловреды мы обнаружили в официальных маркетах

Один из основных принципов защиты мобильного устройства от киберугроз — загружать приложения только из официальных маркетов, таких как Google Play или Apple App Store. Однако несмотря на то, что софт проходит множество проверок перед публикаций, это не гарантирует, что пользователь не столкнется с...

Все блоги / Про интернет

ИБ и ИТ, давайте жить дружно. Вот как это возможно

Безопасность во многих компаниях стоит особняком. Вместо того чтобы беспокоиться о качестве вашего продукта, безопасники твердят о ГОСТах и ISO, о разных сертификациях и авторизационных протоколах — вещах важных, но вне фокуса основного архитектора. При этом их деятельность «подрывает»...

Все блоги / Про интернет

Действительно ли C++ — лучший язык, чтобы выстрелить себе в ногу?

В 2023 году одной из главных IT-новостей стала публикация гайда от Агентства национальной безопасности (NSA) США, в котором языки С/C+ признавались «опасными» и требующими перехода на «безопасные» C#, Go, Java, Ruby и Swift. В этой статье я с позиции Security Champion в KasperskyOS, собственной...

Все блоги / Про интернет

Назад