Настраиваем Git server hook в GitLab On-Premise для защиты кода от вмешательства злоумышленников
Как убедиться в том, что коммиты в продуктовых репозиториях «настоящие»? То есть отправлены тем человеком, имя которого указано в коммите. Мы с коллегами из команды DevOps задались целью построить процесс, который будет давать нам полностью прозрачную картинку, и у нас это получилось. Эта статья...
SSDL: dev VS sec
Иллюстратор: Ольга Фурман специально для Security Vision Когда‑то народы разработчиков и безопасников жили в мире, но все изменилось, когда регулятор решил прорегулировать и их процессы тоже. Читать далее...
Чем занимается AppSec? Безопасность внутренних веб-ресурсов
Довольно долгое время вероятным нарушителем считался только злоумышленник из интернета. На сегодняшний день компании весьма неплохо научились защищать внешний периметр, по крайней мере, важные активы. Но внешние ИТ-ресурсы — это лишь вершина айсберга. Во внутреннем периметре любой компании...
Security Champions: безопасность через мотивацию и бенефиты
Всем привет! Меня зовут Артём Пузанков, я руководитель направления безопасной разработки в МТС Digital. В этой статье я расскажу о мотивации и процессах внедрения концепции Security Champions на практике. Читать далее...
Secure by Design: с чего начинается безопасность продукта
Можно ли при идеальном коде и защищённой инфраструктуре иметь серьёзные проблемы в безопасности продукта? Защитят ли нас полностью современные средства инфраструктурной защиты, анализа кода? А что, если нет? Давайте подумаем об этом на отвлечённых примерах из практики. Привет, Хабр! Меня зовут...
Построение архитектуры с использованием формальных моделей безопасности
Приветствую, дорогие читатели, меня зовут Алексей Федулаев. Я работаю на позиции DevSecOps в компании Bimeister и делаю наши продукты безопаснее. Данная статья будем по мотивам моего выступления на конференции Highload++ 2022, где я рассказывал про “Построение архитектуры с использованием...
Кто такие Security Champions?
Всем привет! Меня зовут Артём Пузанков, я DevSecOps-инженер в департаменте защиты приложений VK. Хочу рассказать о том, зачем команде разработчиков нужны Security Champions и чем они отличаются от AppSec-аналитиков. Читать далее...
Ложнопозитивный WAF, или Как (не) купить себе кирпич
Всем привет! Меня зовут Николай Шуляев, и это моя вторая статья на Хабре (первая – тут). В этот раз я хотел бы поднять достаточно важный для меня и отчасти провокационный вопрос: Так ли нужен WAF? Читать далее...
Основные метрики бесперебойности облачных IT-систем
Освещаем тему отказоустойчивости облачных ИТ-систем и рассказываем, как мы в MANGO OFFICE решаем эти вопросы. Читать далее...
Чем занимается AppSec?
Не так давно мне в очередной раз задали вопрос: «Чем занимается AppSec?». И обычно, отвечая на этот вопрос в двух словах, я чувствую, что должен дать больше информации. Поэтому решил подготовить эту статью. Читать далее...
Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс
Привет, Хабр! И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно сталкиваемся с различными нюансами и сложностями при...
DevSecOps by Swordfish Security. Часть вторая
Продолжение статьи про комплексный подход реализации DevSecOps. В первой части были рассмотрены индустриальные вызовы, цели и задачи инструментов класса ASOC, Оркестрация и Корреляция. Первая часть: https://habr.com/ru/company/swordfish_security/blog/596817/ Читать далее...
DevSecOps by Swordfish Security. Часть первая
Меня зовут Юрий Сергеев, я основатель и управляющий партнер в Swordfish Security. С 2017 наша компания активно занимается проблематикой построения процессов разработки защищенного ПО (Secure Software Development Lifecycle). За прошедшие годы нам посчастливилось реализовывать поистине уникальные...
Security Training & Awareness в Тинькофф
Друзья, перед вами — расшифровка доклада Елены Клочковой с митапа Avito о безопасности. Читать дальше →...