Безопасность цепочек поставок ПО. Построение процессов с помощью OSS
Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:) Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете...
Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли
Всем привет! С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО). Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в...
Keycloak. Мапинг учеток через mTLS c двойной проверкой в kubernetes
Продолжаем с делиться экспертизой отдела Security services infrastructure (департамент Security Services компании «Лаборатории Касперского»). В данном посте мы разберем, как легко настроить mTLS, обращаясь к ресурсам в k8s через ingress-контроллер, и подсоединить это все к keycloak. Пост будет...
Что и зачем почитать DevSecOps-у: личный опыт
Знания — сила! А актуальные и понятно преподнесенные знания — и вовсе на вес золота! Я решил рассказать про книги, которые показались мне, как руководителю отдела поддержки инфраструктуры сервисов (Head of Security Services Infrastructure) в «Лаборатории Касперского», полезными. Перед вами —...
Композиционный анализ при помощи CodeScoring
Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить в ПО сторонние компоненты с известными уязвимостями. В статье рассмотрим внедрение Codescoring Johnny применительно к Azure DevOps Server в процесс...
Управление секретами Kubernetes с Sealed Secrets и Helm: GitOps way
В этой статье рассмотрим, как можно организовать простое управление секретами для приложений в Kubernetes при использовании GitOps-подхода. Храним секреты в git безопасно и управляем ими из Helm-чарта приложения. Читать далее...
Страсти опенсорса: мафия, стилеры и багхантинг проектов «Яндекса»
За последние две недели в Python Package Index произошло много занятного. Мы, команда Threat Intelligence of PT Expert Security Center, вооружились вердиктами модели машинного обучения сервиса PT PyAnalysis, дабы рассказать вам об интересных сработках. Читать далее...
Управление безопасностью приложений: всем выйти из сумрака
Всем привет. И вновь на связи Светлана Газизова, директор по построению процессов DevSecOps в Positive Technologies. Ранее я уже рассказывала о том, кто такой специалист по безопасной разработке в рубрике Positive Education «Топ-10 профессий в сфере кибербезопасности» (а совсем недавно была статья...
Безопасность контейнерных сред: как отбить атаки киберпиратов
В современном мире практически ни одна разработка программного обеспечения не обходится без использования средств контейнеризации, что связано с удобством хранения артефактов и зависимостей. Киберпираты следуют трендам DevSecOps, чтобы повышать энтропию атак на контейнерные среды. Кроме того,...
Вы таки внедрили сканеры безопасности в пайплайны — на этом все?
Привет! Я Максим Коровенков, DevSecOps Lead в Купере (ex СберМаркет). Хочу поделиться мыслями по поводу минимально необходимого набора процессов, сопутствующих внедрению сканеров безопасности в пайплайны разработки. В результате попытаюсь ответить на вопрос: «А что, собственно, стоит иметь в виду...
Внедряем DevSecOps в процесс разработки. Часть 4. Этап Test-time Checks, обзор инструментов
Привет! На связи Олег Казаков из Spectr. В предыдущей части статьи я рассказал о контроле безопасности артефактов сборки в процессе проверки на безопасность. Сегодня поговорим о следующем этапе DevSecOps — Test-time Checks. Узнать больше про DevSecOps...
Как безопасность искусственного интеллекта стала заботой DevSecOps
Пока все повально занимаются внедрением ML в SecOps, мы пошли дальше и стали внедрять SecOps в ML. Я Светлана Газизова, работаю в Positive Technologies директором по построению процессов DevSecOps. Кстати, мы знакомы, если вы читали мою статью о том, кто такие специалисты по безопасной разработке и...
Что такое MLSecOps, или Как безопасность искусственного интеллекта стала заботой DevSecOps
Пока все повально занимаются внедрением ML в SecOps, мы пошли дальше и стали внедрять SecOps в ML. Я Светлана Газизова, работаю в Positive Technologies директором по построению процессов DevSecOps. Кстати, мы знакомы, если вы читали мою статью о том, кто такие специалисты по безопасной разработке и...
Внедряем DevSecOps в процесс разработки. Часть 3. Этап Post-build Checks в DevSecOps, обзор инструментов
Привет! На связи Олег Казаков из Spectr. В предыдущей части статьи я говорил о таком этапе DevSecOps как Commit-time Checks. Он отвечает за контроль корректности и безопасности кода в GIT-репозитории. А в этой части материала я расскажу, что же такое Post-build Checks, и как на этом этапе...
Что, если не Слизерин? Или как можно стать мракоборцем в мире маглов?
Все мы в своё время ждали письмо из Хогвартса, но прошли годы, а сова так и не прилетела. Однако, что, если я скажу, что профессию мракоборца можно освоить в мире виртуальном? Защита от тёмных искусств, охрана правопорядка, необходимость знать противника изнутри… Да это же всё напрямую относится к...
Внедряем DevSecOps в процесс разработки. Часть 2. Обзор инструментов, Commit-time Checks
Привет! На связи Олег Казаков из Spectr. Мы продолжаем публикацию цикла статей, где делимся опытом и наработками и рассказываем, из чего состоит DevSecOps и как его внедрить в процесс разработки. В предыдущей части статьи я рассказал о том, что представляет собой процесс DevSecOps в целом, из каких...
Модели зрелости в кибербезопасности на примере OWASP SAMM
Медленно, но верно компании движутся к кибербезопасности, основанной на оценке рисков. Этот подход признает, что в современном киберпространстве не все активы созданы равными и не могут быть одинаково защищены. Некоторые имеют исключительное значение для компании и ее бизнеса. Защита таких...
Чем разработчику заняться на PHDays Fest 2: наш гайд по программе технического трека
С 23 по 26 мая в «Лужниках» пройдет Positive Hack Days Fest 2. Традиционно эксперты сообщества POSIdev помогли сформировать секцию для разработчиков в профессиональной программе фестиваля. Мы будем говорить о языках программирования, создании платформ, инжиниринге данных, менеджменте, повышении...