[Перевод] OWASP Web Security Testing Guide: как улучшить защищённость web-приложений

Open Web Application Security Project (OWASP) — одна из самых известных организаций, целью которой является улучшение защищённости приложений. Большинство специалистов в области информационной безопасности знакомы с OWASP Top Ten. У OWASP есть множество других проектов для различных этапов...

Все блоги / Про интернет

Бесшовное внедрение практик безопасности в DEVOPS-конвейер

На последнем Международном экономическом форуме в Давосе эксперты представили рейтинг глобальных рисков, которые будут актуальны в ближайшие годы — в топ-10 попали киберугрозы. Это связано с тем, что индустрия разработки растет, сегодня она составляет уже сотни миллиардов долларов, а проблемы...

Все блоги / Про интернет

Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс

Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно сталкиваемся с различными нюансами и сложностями при...

Все блоги / Про интернет

Виды Application Security Testing. Как не запутаться среди SAST, DAST и IAST

Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST). Читать дальше →...

Все блоги / Про интернет

Как ищут секьюрити уязвимости

Всем привет. Сегодня я хотел бы разобрать какие есть подходы для поиска секьюрити уязвимостей в коде и выяснить как можно обезопасить своё приложение от различных атак. Читать далее...

Все блоги / Про интернет

DevSecOps «за 5 копеек»

В этой статье один из сотрудников нашей компании Сергей Полунин Belowzero273 расскажет, как с помощью бесплатных инструментов можно построить простой CI/CD-пайплайн с инструментами контроля безопасности. И сделает это настолько просто, чтобы если даже вы никогда не слышали о подобном подходе, то...

Все блоги / Про интернет

Новые стандарты DevSecOps и GitLab

Довольно много дебатов ведется относительно того, какой термин более правилен: DevSecOps, SecDevOps, или же вообще "sec" часть этого термина является лишней. В этой статье хотел бы поделиться тем, каким мы видим ответ на это вопрос в компании GitLab, а также расскажу о наших текущих разработках в...

Все блоги / Про интернет

Интеграция Netsparker с AD через Keycloak

Привет, Хабр! Как-то раз в нашей работе встретилась необходимость провести интеграцию сканера безопасности Netsparker и службы каталогов Active Directory. В этой статье я поделюсь инструкцией о том, как можно это сделать и на что стоит обратить внимание при настройке. Забегая вперед, стоит...

Все блоги / Про интернет

От Threat Modeling до безопасности AWS: 50+ open-source инструментов для выстраивания безопасности DevOps

Привет, Хабр! Я консультант по информационной безопасности в Swordfish Security по части выстраивания безопасного DevOps для наших заказчиков. Я слежу за тем, как развивается тенденция развития компаний в сторону DevSecOps в мире, пытаюсь транслировать самые интересные практики в русскоговорящее...

Все блоги / Про интернет

Как сэкономить время и силы на внедрении стандартов безопасной разработки с помощью OWASP SAMM

5 марта 2020 года в офисе OZON прошёл очередной митап Московского отделения сообщества OWASP. Кажется, что получилось здорово, а краткий отчёт с материалами встречи был недавно опубликован на Хабре. В этом же посте представлен доклад oxdef. Продолжая серию экспресс-докладов про проекты OWASP,...

Все блоги / Про интернет

«И невозможное возможно»: превращаем черный ящик в белый с помощью бинарного анализа

На данный момент существует два основных подхода к поиску уязвимостей в приложениях — статический и динамический анализ. У обоих подходов есть свои плюсы и минусы. Рынок приходит к тому, что использовать надо оба подхода — они решают немного разные задачи с разным результатом. Однако в некоторых...

Все блоги / Про интернет