Forwarded from Управление Уязвимостями и прочее
Инфосистемы Джет выложили "Результаты тестирования решений для управления уязвимостями" по новой версии методики (3.0). Тестировали следующие продукты:
🔸
🔸
🔸
🔸
🔸
[...] Работа была проделана, вне всяких сомнений, большая и основательная. 🔥 Но, как и в случае тестирования по первой версии методики, мне не хватает оценки качества детектирования. Большая часть этой функциональности скрывается за пунктом "Поддержка сканирования ОС: Windows Server, Windows, AlmaLinux, Ubuntu, Debian" с галочкой у всех вендоров и без каких-либо комментариев. А ведь там самое интересное, ради чего, собственно, пользователи и покупают САЗы. [...]
[ Читайте полностью в посте на сайте avleonov.ru ]
➡️Ⓜ️ MAX | @avleonovrus #JetInfosystems #Comparison #VMvendors
🔸
MaxPatrol VM v. 2.8 (27.6)🔸
SecurityVision VM v. 5.0.1773849508🔸
ScanFactory v. 7.21.9🔸
R-Vision VM v. 6.2🔸
AlphaSense v. 4.57.08.04[...] Работа была проделана, вне всяких сомнений, большая и основательная. 🔥 Но, как и в случае тестирования по первой версии методики, мне не хватает оценки качества детектирования. Большая часть этой функциональности скрывается за пунктом "Поддержка сканирования ОС: Windows Server, Windows, AlmaLinux, Ubuntu, Debian" с галочкой у всех вендоров и без каких-либо комментариев. А ведь там самое интересное, ради чего, собственно, пользователи и покупают САЗы. [...]
[ Читайте полностью в посте на сайте avleonov.ru ]
➡️Ⓜ️ MAX | @avleonovrus #JetInfosystems #Comparison #VMvendors
Вышла новая версия модели Антропик Claude 4.8.
Небольшое увеличение точности по всем бенчмаркам кроме кибербезопасности.
В этом релизе значительное внимание было уделено мерам безопасности (сейфгарды) и, по заявлению производителя, 4.7 примерно равно 4.8.
Но в новости ещё указано, что прогресс в области мер безопасности, позволяет планировать в ближайшие недели публичный релиз "моделей уровня Mythos".
Больше технических деталей возможно найти в системной карточке новой модели. Ниже я приведу пару графиков бенчей кибербезопасности из карточки модели.
Исключен из карточки популяный бенчмарк Cybench как насыщенный. Насыщенные бенчмарки это бенчмарки которые больше не показывают прогресса, передовые модели набирают в них значения близкие к 90-95%.
Добавилось в карточку 2 новых бенча кибербезопасности ExploitBench (способность писать готовые эксплойты с нуля), OSS-Fuzz (фаззинг открытого программного обеспечения).
Остались старые бенчи CyberGym (поиск уязвимостей в реальном коде открытого программного обеспечения), способность писать эксплойты для Firefox 147.
Интересен и раздел описывающий безопасность использования агентов (промты для написания вредоносного ПО, двойного применения типа разведки и т.д.) . Из общего улучшения общей безопасности в версии 4.8 выбивается такая оценка как устойчивость к промт инъекциям при написании кода с помощью инструмента от Shade. На 200 попытках с 52,5% вероятности успеха на 4.7 защищенность снизилась до 65% на версии 4.8 без режима размышления т.е. чуть меньше чем в 2/3 случаях промт инъекции оказались успешными. Сами авторы системной карточки комментируют этот регресс так - это компромис с уменьшением ложно положительных срабатываний.
Небольшое увеличение точности по всем бенчмаркам кроме кибербезопасности.
В этом релизе значительное внимание было уделено мерам безопасности (сейфгарды) и, по заявлению производителя, 4.7 примерно равно 4.8.
Но в новости ещё указано, что прогресс в области мер безопасности, позволяет планировать в ближайшие недели публичный релиз "моделей уровня Mythos".
Больше технических деталей возможно найти в системной карточке новой модели. Ниже я приведу пару графиков бенчей кибербезопасности из карточки модели.
Исключен из карточки популяный бенчмарк Cybench как насыщенный. Насыщенные бенчмарки это бенчмарки которые больше не показывают прогресса, передовые модели набирают в них значения близкие к 90-95%.
Добавилось в карточку 2 новых бенча кибербезопасности ExploitBench (способность писать готовые эксплойты с нуля), OSS-Fuzz (фаззинг открытого программного обеспечения).
Остались старые бенчи CyberGym (поиск уязвимостей в реальном коде открытого программного обеспечения), способность писать эксплойты для Firefox 147.
Интересен и раздел описывающий безопасность использования агентов (промты для написания вредоносного ПО, двойного применения типа разведки и т.д.) . Из общего улучшения общей безопасности в версии 4.8 выбивается такая оценка как устойчивость к промт инъекциям при написании кода с помощью инструмента от Shade. На 200 попытках с 52,5% вероятности успеха на 4.7 защищенность снизилась до 65% на версии 4.8 без режима размышления т.е. чуть меньше чем в 2/3 случаях промт инъекции оказались успешными. Сами авторы системной карточки комментируют этот регресс так - это компромис с уменьшением ложно положительных срабатываний.
Anthropic
Introducing Claude Opus 4.8
Our latest model, Claude Opus 4.8, is an upgrade to our Opus class of models, with stronger performance across coding, agentic tasks, and professional work, and the consistency to handle long-running work.
IBM запускает проект по патчингу открытого ПО - проект Lightwell.
На проект планируется выделить 5 млрд долларов и 20 000 инженеров. Патчить планируют с использованием ИИ агентов. Отдельно отмечаются желание в процессе не сломать, что уже работает.
Первыми целями проекта выбраны Maven и экосистема Java с расширением до PyPI, npm, Go и другого ПО.
Что это означает на практике - нас ждёт ещё больше патчей для опенсорса, но это все равно лучше чем непатченные уязвимости.
Если ваша организация автор популярного опенсорса - стоит рассмотреть возможность присоединения к программе.
На проект планируется выделить 5 млрд долларов и 20 000 инженеров. Патчить планируют с использованием ИИ агентов. Отдельно отмечаются желание в процессе не сломать, что уже работает.
Первыми целями проекта выбраны Maven и экосистема Java с расширением до PyPI, npm, Go и другого ПО.
Что это означает на практике - нас ждёт ещё больше патчей для опенсорса, но это все равно лучше чем непатченные уязвимости.
Если ваша организация автор популярного опенсорса - стоит рассмотреть возможность присоединения к программе.
Ibm
Lightwell
Project Lightwell is IBM and Red Hat’s new approach to securing open source software across the full lifecycle, from upstream code to enterprise deployment.
Если у вас или ваших подрядчиков есть разработка на C# - имеет смысл запланировать тестирование нового функционала по безопасной работе с памятью на конец 2026.
Начиная с .Net 11 (релиз ноябрь 2026) этот функционал будет доступен в режиме превью. В .Net 12 (ноябрь 2027) возможно включение по умолчанию.
Если не терпится протестировать - скорее всего, часть функционала будет доступно в превью 5 .Net 11 (релиз 9 июня 2026).
Зачем это кибербезу - уменьшение потока уязвимостей при работе с памятью от выявления и тиража до устранения.
Начиная с .Net 11 (релиз ноябрь 2026) этот функционал будет доступен в режиме превью. В .Net 12 (ноябрь 2027) возможно включение по умолчанию.
Если не терпится протестировать - скорее всего, часть функционала будет доступно в превью 5 .Net 11 (релиз 9 июня 2026).
Зачем это кибербезу - уменьшение потока уязвимостей при работе с памятью от выявления и тиража до устранения.
Microsoft News
Improving C# Memory Safety
The `unsafe` keyword is being redesigned to mark caller-facing contracts rather than just syntax. Safety obligations between callers and callees become visible and reviewable. The model is motivated by the rise of AI-assisted code generation and arrives as…