👿 Открытый исходный код — следующая цель кибератак
Программное обеспечение с открытым исходным кодом распространено повсеместно, что представляет значительный риск для безопасности, поскольку открывает двери для уязвимостей, которые могут быть представлены (преднамеренно или непреднамеренно) потребителям программных продуктов с открытым исходным кодом.
Open Source Code: The Next Major Wave of Cyberattacks
Программное обеспечение с открытым исходным кодом распространено повсеместно, что представляет значительный риск для безопасности, поскольку открывает двери для уязвимостей, которые могут быть представлены (преднамеренно или непреднамеренно) потребителям программных продуктов с открытым исходным кодом.
Open Source Code: The Next Major Wave of Cyberattacks
Dark Reading
Open Source Code: The Next Major Wave of Cyberattacks
The ubiquity of open source software presents a significant security risk, as it opens the door for vulnerabilities to be introduced (intentionally or inadvertently) to those who use it.
👨🏼💻 Почему разработчики должны заботиться о Log4j
Если несколько лет назад кибербезопасность не была первостепенной задачей при разработке программного обеспечения, то сейчас обеспечение безопасности информационных активов становится приоритетом не только для служб ИБ, но и ИТ.
Why Developers Should Care About Log4j
Если несколько лет назад кибербезопасность не была первостепенной задачей при разработке программного обеспечения, то сейчас обеспечение безопасности информационных активов становится приоритетом не только для служб ИБ, но и ИТ.
Why Developers Should Care About Log4j
Dark Reading
Why Developers Should Care About Log4j
Unless you can gain full visibility into how data flows to and through your dependencies, you can’t be sure if you are affected by this vulnerability.
5️⃣ 5 главных вопросов на собеседовании, которые стоит задать кандидатам в DevOps в 2022 году
Безопасный DevOps предполагает учёт и снижение соответствующих рисков безопасности. Данный список вопросов поможет понять, рассматривают ли кандидаты #DevOps или DevSecOps, как необходимую часть управления рисками безопасности, или они сосредоточены на простом выполнении своей работы в ИТ.
Top 5 Interview Questions to Ask DevOps Candidates in 2022
Безопасный DevOps предполагает учёт и снижение соответствующих рисков безопасности. Данный список вопросов поможет понять, рассматривают ли кандидаты #DevOps или DevSecOps, как необходимую часть управления рисками безопасности, или они сосредоточены на простом выполнении своей работы в ИТ.
Top 5 Interview Questions to Ask DevOps Candidates in 2022
Dark Reading
Top 5 Interview Questions to Ask DevOps Candidates in 2022
It's worthwhile to find candidates who have experience with models that embed security into their processes.
🔫 Как повысить безопасность Shift-Left в SDLC
Применение элементов управления безопасностью как можно раньше в жизненном цикле разработки программного обеспечения (SDLC) помогает сделать так, что не каждый уязвимый код станет уязвимостью в производстве… или, что ещё хуже, в эксплуатации.
How to Boost Shift-Left Security in the SDLC
Применение элементов управления безопасностью как можно раньше в жизненном цикле разработки программного обеспечения (SDLC) помогает сделать так, что не каждый уязвимый код станет уязвимостью в производстве… или, что ещё хуже, в эксплуатации.
How to Boost Shift-Left Security in the SDLC
Dark Reading
How to Boost Shift-Left Security in the SDLC
Organizations will see big wins from applying security controls early in the development life cycle.
👍1
👓 Как избежать слепых зон API при тестировании безопасности веб-приложений
API-интерфейсы являются важной частью разработки современных веб-приложений и одновременно – уязвимой частью вашего периметра для веб-атак. Узнайте, как тестирование уязвимостей API становится неотъемлемой частью безопасного SDLC.
How to avoid API blind spots in web application security testing
API-интерфейсы являются важной частью разработки современных веб-приложений и одновременно – уязвимой частью вашего периметра для веб-атак. Узнайте, как тестирование уязвимостей API становится неотъемлемой частью безопасного SDLC.
How to avoid API blind spots in web application security testing
Invicti
How to avoid API blind spots in web application security testing | Invicti
Web APIs are a crucial part of modern application development and make up a large part of the total web attack surface. This post announces an Invicti white paper that shows how you can make API vulnerability testing an integral part of your secure SDLC.
📈 Безопасность приложений в актуальной динамике
DevOps развивается вслед за внезапными изменениями цифровой реальности, вызванных глобальной пандемией. ИТ-команды используют новые, трансформационные модели #DevOps, которые поддерживают цифровую инфраструктуру на протяжении всего жизненного цикла программного обеспечения. И этот сдвиг в сторону всесторонней интеграции для повышения эффективности, качества и безопасности разработки только разгоняется.
✔️ Application Security Has Its Best Ever Chance For Success
DevOps развивается вслед за внезапными изменениями цифровой реальности, вызванных глобальной пандемией. ИТ-команды используют новые, трансформационные модели #DevOps, которые поддерживают цифровую инфраструктуру на протяжении всего жизненного цикла программного обеспечения. И этот сдвиг в сторону всесторонней интеграции для повышения эффективности, качества и безопасности разработки только разгоняется.
✔️ Application Security Has Its Best Ever Chance For Success
NTT Application Security
Application Security Has Its Best Ever Chance For Success
The last year has been marked by the rapid progress of transformational DevOps models.
4️⃣ проблемы безопасности для low-code и no-code разработки
Использование low-code платформ позволяет разрабатывать приложения быстрее, однако одновременно создаёт новые уязвимости и может скрыть проблемы безопасности. Как и в случае с любым другим программным продуктом, тщательность разработки кода — это проблема, которую нельзя упускать из виду.
4 security concerns for low-code and no-code development
Использование low-code платформ позволяет разрабатывать приложения быстрее, однако одновременно создаёт новые уязвимости и может скрыть проблемы безопасности. Как и в случае с любым другим программным продуктом, тщательность разработки кода — это проблема, которую нельзя упускать из виду.
4 security concerns for low-code and no-code development
CSO Online
4 security concerns for low-code and no-code development
Low code does not mean low risk. By allowing more people in an enterprise to develop applications, low-code development creates new vulnerabilities and can hide problems from security.
💯 Развертывание технологии SecOps в компаниях: отчёт Dark Reading и Omdia
Руководители служб безопасности активно изучают новые технологии и услуги для улучшения существующих мер безопасности и готовы инвестировать в различные технологии корпоративной кибербезопасности (SecOps):
🔻 37% обнаружение облачных угроз и реагирование на них
🔻 36% инструменты управления поверхностью атаки
🔻 34% поведенческая аналитика
🔻 33% поиск угроз (threat hunting)
🔻 31% расширенное обнаружение и реагирование (EDR)
🔻 27% платформы обеспечения безопасности и реагирования (SOAR)
Enterprises Planning SecOps Technology Deployments
Руководители служб безопасности активно изучают новые технологии и услуги для улучшения существующих мер безопасности и готовы инвестировать в различные технологии корпоративной кибербезопасности (SecOps):
🔻 37% обнаружение облачных угроз и реагирование на них
🔻 36% инструменты управления поверхностью атаки
🔻 34% поведенческая аналитика
🔻 33% поиск угроз (threat hunting)
🔻 31% расширенное обнаружение и реагирование (EDR)
🔻 27% платформы обеспечения безопасности и реагирования (SOAR)
Enterprises Planning SecOps Technology Deployments
Dark Reading
Enterprises Planning SecOps Technology Deployments
With the easing of pandemic-related restrictions, enterprise defenders report they are investigating security operations technology to manage new risks that emerged over the past year.
⏳ DAST будущего: изменение современной парадигмы безопасности приложений
Традиционная парадигма жизненного цикла разработки программного обеспечения (SDLC) создаёт функциональные разрозненные пространства между DevOps и SecOps. Тестирование приложений исключительно в процессе разработки — это обратный DAST-подход, который может привести к уязвимостям в приложениях после того, как они будут запущены в производство.
DAST to the Future: Shifting the Modern AppSec Paradigm
Традиционная парадигма жизненного цикла разработки программного обеспечения (SDLC) создаёт функциональные разрозненные пространства между DevOps и SecOps. Тестирование приложений исключительно в процессе разработки — это обратный DAST-подход, который может привести к уязвимостям в приложениях после того, как они будут запущены в производство.
DAST to the Future: Shifting the Modern AppSec Paradigm
Dark Reading
DAST to the Future: Shifting the Modern AppSec Paradigm
NTT Application Security's Modern AppSec Framework takes a DAST-first approach to defend applications where breaches happen — in production.
🏆 Топ-10 уязвимостей OWASP: новые изменения
Уязвимости, связанные с недостаточным или неправильными настройками контроля доступа возникают чаще, чем любые другие недостатки безопасности, и заняли первое место в списке 10 основных угроз безопасности веб-приложений. Межсайтовый скриптинг (XSS), на долю которого приходится примерно каждая пятая раскрытая уязвимость, исчез из списка, новый Insecure Design уже занял 4-е место.
OWASP Reshuffles Its Top 10 List, Adds New Categories
Уязвимости, связанные с недостаточным или неправильными настройками контроля доступа возникают чаще, чем любые другие недостатки безопасности, и заняли первое место в списке 10 основных угроз безопасности веб-приложений. Межсайтовый скриптинг (XSS), на долю которого приходится примерно каждая пятая раскрытая уязвимость, исчез из списка, новый Insecure Design уже занял 4-е место.
OWASP Reshuffles Its Top 10 List, Adds New Categories
Dark Reading
OWASP Reshuffles Its Top 10 List, Adds New Categories
The Open Web Application Security Project reshuffles its list of top threats, putting broken access controls and cryptographic failures at the top and creating three new risk categories.
📲 Концепция долга AppSec в безопасности веб-приложений
Компании вынуждены постоянно пересматривать свои приоритеты - и безопасность приложений часто бывает отодвинута на задний план перед скоростью разработки. Почему возникает технический долг AppSec и как с ним бороться?
How AppSec debt hurts your company – and how to make it stop
Компании вынуждены постоянно пересматривать свои приоритеты - и безопасность приложений часто бывает отодвинута на задний план перед скоростью разработки. Почему возникает технический долг AppSec и как с ним бороться?
How AppSec debt hurts your company – and how to make it stop
Invicti
AppSec debt and how it hurts your company | Invicti
Cybersecurity tends to be the first thing to get sidelined whenever company priorities change. If you do this often enough, you will find yourself building up a security technical debt that can really hurt your organization. This post examines the concept…
🤺 OWASP Top 10 Deep Dive: инъекции и трассировка стека с точки зрения хакера
Инъекции заняли 3-е место в обновленном рейтинге OWASP «10 основных угроз безопасности приложений на 2021 год».
OWASP Top 10 Deep Dive: Injection and Stack Traces From a Hacker's Perspective
Инъекции заняли 3-е место в обновленном рейтинге OWASP «10 основных угроз безопасности приложений на 2021 год».
OWASP Top 10 Deep Dive: Injection and Stack Traces From a Hacker's Perspective
Rapid7
OWASP Top 10 Deep Dive: Injection and Stack Traces | Rapid7 Blog
Injection claimed the number 3 spot in OWASP's 2021 Top 10 application security risks. We highlight why injection remains such a formidable threat.
👨💻 Почему AppSec в первую очередь должен быть оптимизирован под разработчиков
Современная разработка программного обеспечения ставит во главу угла быстрое создание ценности. Но в то время как разработчикам программного обеспечения нужно ускорять работу, устаревшие инструменты для AST, используемые в большинстве организаций, не были разработаны для удовлетворения интенсивных требований современных циклов разработки. Скорость — это новая норма для разработчиков приложений. И поэтому нам нужны инструменты безопасности, позволяющие разработчикам нормально выполнять свою работу.
Современная разработка программного обеспечения ставит во главу угла быстрое создание ценности. Но в то время как разработчикам программного обеспечения нужно ускорять работу, устаревшие инструменты для AST, используемые в большинстве организаций, не были разработаны для удовлетворения интенсивных требований современных циклов разработки. Скорость — это новая норма для разработчиков приложений. И поэтому нам нужны инструменты безопасности, позволяющие разработчикам нормально выполнять свою работу.
Contrastsecurity
Why We Need “Developer-First” Application Security
I recently did a podcast with Security Weekly that highlights developer-first application security. A recent survey that we conducted shows that, despite increasing pressure for accelerated release cycles, developers actually are interested in security.
1️⃣0️⃣ OWASP Top 10: Уязвимые и устаревшие компоненты
В выпуске OWASP за 2021 год уязвимые и устаревшие компоненты поднялись на 3 позиции с 9-го места на 6-е. Это изменение статуса отражает растущую важность этой уязвимости в современной разработке приложений, а также растущее беспокойство, с которым сообщество относится к этому риску.
В выпуске OWASP за 2021 год уязвимые и устаревшие компоненты поднялись на 3 позиции с 9-го места на 6-е. Это изменение статуса отражает растущую важность этой уязвимости в современной разработке приложений, а также растущее беспокойство, с которым сообщество относится к этому риску.
Rapid7
OWASP Top 10 Deep Dive: Vulnerable and Outdated Components | Rapid7 Blog
Outdated and vulnerable components have gone up three places in the OWASP Top 10. Here's Why.
❓ DevSecOps = SecDevOps, так ли это?
Действительно ли имеет значение, где вы добавите Sec в DevOps? Ответ зависит от того, насколько глубоко вы хотите пойти. Если мы преимущественно говорим о быстроте и эффективности создания программного обеспечения, мы используем термин DevSecOps. Если о безопасности ПО, то корректнее указывать SecDevOps.
Действительно ли имеет значение, где вы добавите Sec в DevOps? Ответ зависит от того, насколько глубоко вы хотите пойти. Если мы преимущественно говорим о быстроте и эффективности создания программного обеспечения, мы используем термин DevSecOps. Если о безопасности ПО, то корректнее указывать SecDevOps.
Invicti
Is DevSecOps the same as SecDevOps? Does it matter? | Invicti
DevSecOps is the most popular term for building security checks and practices into DevOps processes, but there are also two other ways to put the Sec into DevOps. Let’s go back to basics and see if there is any real difference between DevSecOps, SecDevOps…
🔶 Прогресс и проблемы на пути к безопасным инновациям в Dev-Sec
В новом исследовании рынка от Invicti Security "Application Security and the Innovation Imperative" рассматривается, как компании борются со стратегической потребностью в инновациях и экзистенциальным риском, связанным с киберугрозами.
В новом исследовании рынка от Invicti Security "Application Security and the Innovation Imperative" рассматривается, как компании борются со стратегической потребностью в инновациях и экзистенциальным риском, связанным с киберугрозами.
Invicti
Dev-Sec Convergence: New Research Details Progress and Challenges on the Road to Secure Innovation | Invicti
A new market study released today by Invicti Security, Application Security and the Innovation Imperative, examines how companies are contending with the strategic need to innovate and the existential risk posed by cyber threats.
🤯 DAST как средство получения результата, а не информационного шума
Продукты для динамического тестирования безопасности приложений (DAST) сильно различаются по качеству и возможностям. Низкокачественный инструмент, который просто ставит галочку, мало что сделает для повышения безопасности и может создать больше работы, чем сэкономить. Но зрелое, высококачественное решение может обеспечить ощутимые улучшения безопасности и послужить прочной основой для всей программы AppSec.
The secret to getting results, not noise, from your DAST solution
Продукты для динамического тестирования безопасности приложений (DAST) сильно различаются по качеству и возможностям. Низкокачественный инструмент, который просто ставит галочку, мало что сделает для повышения безопасности и может создать больше работы, чем сэкономить. Но зрелое, высококачественное решение может обеспечить ощутимые улучшения безопасности и послужить прочной основой для всей программы AppSec.
The secret to getting results, not noise, from your DAST solution
Invicti
The secret to getting results, not noise, from your DAST solution | Invicti
Automated security testing needs great care to find real vulnerabilities while minimizing noise in results. This post and infographic shows why maturity makes all the difference in a DAST solution.
🔨 Построение Secure SDLC для веб-приложений
SDLC имеет решающее значение для разработки современных веб-приложений в соответствии с графиком, объёмом и бюджетом. Внедрение безопасности в жизненный цикл приложения — непростая задача, поэтому давайте посмотрим, как можно интегрировать передовые методы обеспечения безопасности приложений, чтобы создать SSDLC программного обеспечения.
SDLC имеет решающее значение для разработки современных веб-приложений в соответствии с графиком, объёмом и бюджетом. Внедрение безопасности в жизненный цикл приложения — непростая задача, поэтому давайте посмотрим, как можно интегрировать передовые методы обеспечения безопасности приложений, чтобы создать SSDLC программного обеспечения.
5️⃣ 5 основных советов по привлечению внимания руководства к AppSec
Демонстрация ценности AppSec для руководителей может оказаться непростой задачей. Как получить согласие руководителей высшего звена на обеспечение безопасности приложений? 5 основных советов в статье.
Five fundamental tips for getting executive buy-in on AppSec
Демонстрация ценности AppSec для руководителей может оказаться непростой задачей. Как получить согласие руководителей высшего звена на обеспечение безопасности приложений? 5 основных советов в статье.
Five fundamental tips for getting executive buy-in on AppSec