💻 Платформы Low Code не отменяют необходимость DevOps
Использование модели DevOps в разработках с low code делает акцент на надёжном жизненном цикле разработки программного обеспечения, связанном с бизнесом и ИТ — для увеличения скорости внедрения цифровой трансформации.
Why Low Code Will Not Kill DevOps – It Makes It Stronger
Использование модели DevOps в разработках с low code делает акцент на надёжном жизненном цикле разработки программного обеспечения, связанном с бизнесом и ИТ — для увеличения скорости внедрения цифровой трансформации.
Why Low Code Will Not Kill DevOps – It Makes It Stronger
HCL SW Blogs
Why Low Code Will Not Kill DevOps – It Makes It Stronger
While its roots can be traced back to rapid-application development (RAD), low-code application development started to gain serious momentum about three years ago; some of the DevOps community had initially dismissed the trend as the plethora of approaches…
❓ Навыки кибербезопасности для разработчиков: как обучить безопасной разработке внутри компании
Постоянный дефицит кадров и возрастающие требования по кибербезопасности компаний привели к тому, что многие разработчики плохо подготовлены к написанию безопасного кода и созданию систем, безопасных по замыслу. И это как раз в то время, когда они нам нужны больше всего. Как это исправить?
Creating the Next Generation of Secure Developers
Постоянный дефицит кадров и возрастающие требования по кибербезопасности компаний привели к тому, что многие разработчики плохо подготовлены к написанию безопасного кода и созданию систем, безопасных по замыслу. И это как раз в то время, когда они нам нужны больше всего. Как это исправить?
Creating the Next Generation of Secure Developers
Dark Reading
Creating the Next Generation of Secure Developers
Helping management prioritize developer education is a tall order, but it's one the industry must figure out.
📲 Нарушения безопасности мобильных приложений в 2021 году
Многие из крупнейших утечек приложений в прошлом году можно было предотвратить с помощью тестирования, обучения и серьёзного отношения к безопасности приложений.
Mobile Application Security: 2021's Breaches
Многие из крупнейших утечек приложений в прошлом году можно было предотвратить с помощью тестирования, обучения и серьёзного отношения к безопасности приложений.
Mobile Application Security: 2021's Breaches
Dark Reading
Mobile Application Security: 2021's Breaches
Many of last year's largest app breaches could have been prevented with testing, training, and the will to take app security seriously.
🔨 Построение DevSecOps: необходимы современные инструменты и культурные изменения
Invicti в партнёрстве с Checkmarx и Академическим исследовательским центром передовых технологий организовала вебинар, на котором обсуждались требования к созданию DevSecOps в государственных учреждениях.
To build DevSecOps, you need both modern tools and cultural changes
Invicti в партнёрстве с Checkmarx и Академическим исследовательским центром передовых технологий организовала вебинар, на котором обсуждались требования к созданию DevSecOps в государственных учреждениях.
To build DevSecOps, you need both modern tools and cultural changes
Invicti
To build DevSecOps, you need both modern tools and cultural changes
The last few years have seen enterprises building security into their software development lifecycles, but similar efforts in the public sector face some unique challenges related to both tooling and culture. This post summarizes an ATARC webinar organized…
🚜 Безопасность открытого исходного кода: добраться до корня проблемы
В большинстве случаев код, написанный для создания проприетарного программного обеспечения, включает в себя открытый исходный код из сторонних библиотек. Публичное раскрытие уязвимости Log4Shell в Log4j в декабре 2021 года показало необходимость отслеживания таких использований для обеспечения кибербезопасности компаний.
Open-Source Security: Getting to the Root of the Problem
В большинстве случаев код, написанный для создания проприетарного программного обеспечения, включает в себя открытый исходный код из сторонних библиотек. Публичное раскрытие уязвимости Log4Shell в Log4j в декабре 2021 года показало необходимость отслеживания таких использований для обеспечения кибербезопасности компаний.
Open-Source Security: Getting to the Root of the Problem
Rapid7
Open-Source Security: Getting to the Root of the Problem | Rapid7 Blog
The past few weeks have shown us the importance and wide reach of open-source security.
🕹️ 11 причин перейти на многофункциональную платформу для разработки
Мультиэкспериментальные платформы разработки, или MXDP, предоставляют разработчикам набор интерфейсных и серверных инструментов для создания уникальных, согласованных и масштабируемых возможностей для своих пользователей. Эти инструменты охватывают весь жизненный цикл приложения от проектирования, разработки, тестирования, распространения до обслуживания, управления и анализа пользовательских данных.
11 Reasons to Switch to a Multiexperience Development Platform
Мультиэкспериментальные платформы разработки, или MXDP, предоставляют разработчикам набор интерфейсных и серверных инструментов для создания уникальных, согласованных и масштабируемых возможностей для своих пользователей. Эти инструменты охватывают весь жизненный цикл приложения от проектирования, разработки, тестирования, распространения до обслуживания, управления и анализа пользовательских данных.
11 Reasons to Switch to a Multiexperience Development Platform
HCL SW Blogs
11 Reasons to Switch to a Multiexperience Development Platform
Covid-19 has disrupted our world and deprived us of human interactions, but successful businesses have transformed their products and services into digital experiences interconnecting employees and customers.
📉 Проверка приложений на уязвимости: частота сканирований увеличилась втрое, а найденные уязвимости сократились на 2/3
Согласно новому отчёту Veracode, компании увеличили частоту тестирования безопасности приложений: количество сканируемых приложений увеличилось в три раза, а число сканирований каждого приложения увеличилось в 20 раз по сравнению с тем, что было десять лет назад. Вместе с этим количество найденных уязвимостей уменьшилось на 2/3.
Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
Согласно новому отчёту Veracode, компании увеличили частоту тестирования безопасности приложений: количество сканируемых приложений увеличилось в три раза, а число сканирований каждого приложения увеличилось в 20 раз по сравнению с тем, что было десять лет назад. Вместе с этим количество найденных уязвимостей уменьшилось на 2/3.
Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
Dark Reading
Vulnerability Scanning Triples, Leading to Two-Thirds Fewer Flaws
Companies are scanning more applications for vulnerabilities — and more often.
🚦 3 важных тренда и Best Practies безопасной разработки
Для обеспечения непрерывной кибербезопасности компании необходимо сосредоточить своё внимание на проактивном упреждении угрозы и принципах SDLC вместо следования принципу Do&Fix.
3 Critical Software Development Security Trends and Best Practices
Для обеспечения непрерывной кибербезопасности компании необходимо сосредоточить своё внимание на проактивном упреждении угрозы и принципах SDLC вместо следования принципу Do&Fix.
3 Critical Software Development Security Trends and Best Practices
Dark Reading
3 Critical Software Development Security Trends and Best Practices
Organizations should focus on proactive, development-based approaches to security.
⚖ Ключевые метрики безопасности приложений: слабый рост в 2021 году
Проведённое исследование NTT Application Security показало, что:
🔹 в среднем организациям потребовалось 193,1 дня, чтобы исправить критическую уязвимость в системе безопасности (194,8 в 2020 г.)
🔹 уровень устранения критических уязвимостей снизился до 47 % в 2021 г. с 54 % в 2020 г.
🔹 в 2021 году организации в среднем исправили только 36% критичных и 33% ошибок средней степени серьёзности
Key Application Security Metrics Show Few Signs of Improvement
Проведённое исследование NTT Application Security показало, что:
🔹 в среднем организациям потребовалось 193,1 дня, чтобы исправить критическую уязвимость в системе безопасности (194,8 в 2020 г.)
🔹 уровень устранения критических уязвимостей снизился до 47 % в 2021 г. с 54 % в 2020 г.
🔹 в 2021 году организации в среднем исправили только 36% критичных и 33% ошибок средней степени серьёзности
Key Application Security Metrics Show Few Signs of Improvement
Dark Reading
Key Application Security Metrics Show Few Signs of Improvement
A new study shows that organizations continued to take an inordinately long time to fix vulnerabilities and fixed fewer known issues in their environments last year than in 2020.
👿 Открытый исходный код — следующая цель кибератак
Программное обеспечение с открытым исходным кодом распространено повсеместно, что представляет значительный риск для безопасности, поскольку открывает двери для уязвимостей, которые могут быть представлены (преднамеренно или непреднамеренно) потребителям программных продуктов с открытым исходным кодом.
Open Source Code: The Next Major Wave of Cyberattacks
Программное обеспечение с открытым исходным кодом распространено повсеместно, что представляет значительный риск для безопасности, поскольку открывает двери для уязвимостей, которые могут быть представлены (преднамеренно или непреднамеренно) потребителям программных продуктов с открытым исходным кодом.
Open Source Code: The Next Major Wave of Cyberattacks
Dark Reading
Open Source Code: The Next Major Wave of Cyberattacks
The ubiquity of open source software presents a significant security risk, as it opens the door for vulnerabilities to be introduced (intentionally or inadvertently) to those who use it.
👨🏼💻 Почему разработчики должны заботиться о Log4j
Если несколько лет назад кибербезопасность не была первостепенной задачей при разработке программного обеспечения, то сейчас обеспечение безопасности информационных активов становится приоритетом не только для служб ИБ, но и ИТ.
Why Developers Should Care About Log4j
Если несколько лет назад кибербезопасность не была первостепенной задачей при разработке программного обеспечения, то сейчас обеспечение безопасности информационных активов становится приоритетом не только для служб ИБ, но и ИТ.
Why Developers Should Care About Log4j
Dark Reading
Why Developers Should Care About Log4j
Unless you can gain full visibility into how data flows to and through your dependencies, you can’t be sure if you are affected by this vulnerability.
5️⃣ 5 главных вопросов на собеседовании, которые стоит задать кандидатам в DevOps в 2022 году
Безопасный DevOps предполагает учёт и снижение соответствующих рисков безопасности. Данный список вопросов поможет понять, рассматривают ли кандидаты #DevOps или DevSecOps, как необходимую часть управления рисками безопасности, или они сосредоточены на простом выполнении своей работы в ИТ.
Top 5 Interview Questions to Ask DevOps Candidates in 2022
Безопасный DevOps предполагает учёт и снижение соответствующих рисков безопасности. Данный список вопросов поможет понять, рассматривают ли кандидаты #DevOps или DevSecOps, как необходимую часть управления рисками безопасности, или они сосредоточены на простом выполнении своей работы в ИТ.
Top 5 Interview Questions to Ask DevOps Candidates in 2022
Dark Reading
Top 5 Interview Questions to Ask DevOps Candidates in 2022
It's worthwhile to find candidates who have experience with models that embed security into their processes.
🔫 Как повысить безопасность Shift-Left в SDLC
Применение элементов управления безопасностью как можно раньше в жизненном цикле разработки программного обеспечения (SDLC) помогает сделать так, что не каждый уязвимый код станет уязвимостью в производстве… или, что ещё хуже, в эксплуатации.
How to Boost Shift-Left Security in the SDLC
Применение элементов управления безопасностью как можно раньше в жизненном цикле разработки программного обеспечения (SDLC) помогает сделать так, что не каждый уязвимый код станет уязвимостью в производстве… или, что ещё хуже, в эксплуатации.
How to Boost Shift-Left Security in the SDLC
Dark Reading
How to Boost Shift-Left Security in the SDLC
Organizations will see big wins from applying security controls early in the development life cycle.
👍1
👓 Как избежать слепых зон API при тестировании безопасности веб-приложений
API-интерфейсы являются важной частью разработки современных веб-приложений и одновременно – уязвимой частью вашего периметра для веб-атак. Узнайте, как тестирование уязвимостей API становится неотъемлемой частью безопасного SDLC.
How to avoid API blind spots in web application security testing
API-интерфейсы являются важной частью разработки современных веб-приложений и одновременно – уязвимой частью вашего периметра для веб-атак. Узнайте, как тестирование уязвимостей API становится неотъемлемой частью безопасного SDLC.
How to avoid API blind spots in web application security testing
Invicti
How to avoid API blind spots in web application security testing | Invicti
Web APIs are a crucial part of modern application development and make up a large part of the total web attack surface. This post announces an Invicti white paper that shows how you can make API vulnerability testing an integral part of your secure SDLC.
📈 Безопасность приложений в актуальной динамике
DevOps развивается вслед за внезапными изменениями цифровой реальности, вызванных глобальной пандемией. ИТ-команды используют новые, трансформационные модели #DevOps, которые поддерживают цифровую инфраструктуру на протяжении всего жизненного цикла программного обеспечения. И этот сдвиг в сторону всесторонней интеграции для повышения эффективности, качества и безопасности разработки только разгоняется.
✔️ Application Security Has Its Best Ever Chance For Success
DevOps развивается вслед за внезапными изменениями цифровой реальности, вызванных глобальной пандемией. ИТ-команды используют новые, трансформационные модели #DevOps, которые поддерживают цифровую инфраструктуру на протяжении всего жизненного цикла программного обеспечения. И этот сдвиг в сторону всесторонней интеграции для повышения эффективности, качества и безопасности разработки только разгоняется.
✔️ Application Security Has Its Best Ever Chance For Success
NTT Application Security
Application Security Has Its Best Ever Chance For Success
The last year has been marked by the rapid progress of transformational DevOps models.
4️⃣ проблемы безопасности для low-code и no-code разработки
Использование low-code платформ позволяет разрабатывать приложения быстрее, однако одновременно создаёт новые уязвимости и может скрыть проблемы безопасности. Как и в случае с любым другим программным продуктом, тщательность разработки кода — это проблема, которую нельзя упускать из виду.
4 security concerns for low-code and no-code development
Использование low-code платформ позволяет разрабатывать приложения быстрее, однако одновременно создаёт новые уязвимости и может скрыть проблемы безопасности. Как и в случае с любым другим программным продуктом, тщательность разработки кода — это проблема, которую нельзя упускать из виду.
4 security concerns for low-code and no-code development
CSO Online
4 security concerns for low-code and no-code development
Low code does not mean low risk. By allowing more people in an enterprise to develop applications, low-code development creates new vulnerabilities and can hide problems from security.
💯 Развертывание технологии SecOps в компаниях: отчёт Dark Reading и Omdia
Руководители служб безопасности активно изучают новые технологии и услуги для улучшения существующих мер безопасности и готовы инвестировать в различные технологии корпоративной кибербезопасности (SecOps):
🔻 37% обнаружение облачных угроз и реагирование на них
🔻 36% инструменты управления поверхностью атаки
🔻 34% поведенческая аналитика
🔻 33% поиск угроз (threat hunting)
🔻 31% расширенное обнаружение и реагирование (EDR)
🔻 27% платформы обеспечения безопасности и реагирования (SOAR)
Enterprises Planning SecOps Technology Deployments
Руководители служб безопасности активно изучают новые технологии и услуги для улучшения существующих мер безопасности и готовы инвестировать в различные технологии корпоративной кибербезопасности (SecOps):
🔻 37% обнаружение облачных угроз и реагирование на них
🔻 36% инструменты управления поверхностью атаки
🔻 34% поведенческая аналитика
🔻 33% поиск угроз (threat hunting)
🔻 31% расширенное обнаружение и реагирование (EDR)
🔻 27% платформы обеспечения безопасности и реагирования (SOAR)
Enterprises Planning SecOps Technology Deployments
Dark Reading
Enterprises Planning SecOps Technology Deployments
With the easing of pandemic-related restrictions, enterprise defenders report they are investigating security operations technology to manage new risks that emerged over the past year.
⏳ DAST будущего: изменение современной парадигмы безопасности приложений
Традиционная парадигма жизненного цикла разработки программного обеспечения (SDLC) создаёт функциональные разрозненные пространства между DevOps и SecOps. Тестирование приложений исключительно в процессе разработки — это обратный DAST-подход, который может привести к уязвимостям в приложениях после того, как они будут запущены в производство.
DAST to the Future: Shifting the Modern AppSec Paradigm
Традиционная парадигма жизненного цикла разработки программного обеспечения (SDLC) создаёт функциональные разрозненные пространства между DevOps и SecOps. Тестирование приложений исключительно в процессе разработки — это обратный DAST-подход, который может привести к уязвимостям в приложениях после того, как они будут запущены в производство.
DAST to the Future: Shifting the Modern AppSec Paradigm
Dark Reading
DAST to the Future: Shifting the Modern AppSec Paradigm
NTT Application Security's Modern AppSec Framework takes a DAST-first approach to defend applications where breaches happen — in production.
🏆 Топ-10 уязвимостей OWASP: новые изменения
Уязвимости, связанные с недостаточным или неправильными настройками контроля доступа возникают чаще, чем любые другие недостатки безопасности, и заняли первое место в списке 10 основных угроз безопасности веб-приложений. Межсайтовый скриптинг (XSS), на долю которого приходится примерно каждая пятая раскрытая уязвимость, исчез из списка, новый Insecure Design уже занял 4-е место.
OWASP Reshuffles Its Top 10 List, Adds New Categories
Уязвимости, связанные с недостаточным или неправильными настройками контроля доступа возникают чаще, чем любые другие недостатки безопасности, и заняли первое место в списке 10 основных угроз безопасности веб-приложений. Межсайтовый скриптинг (XSS), на долю которого приходится примерно каждая пятая раскрытая уязвимость, исчез из списка, новый Insecure Design уже занял 4-е место.
OWASP Reshuffles Its Top 10 List, Adds New Categories
Dark Reading
OWASP Reshuffles Its Top 10 List, Adds New Categories
The Open Web Application Security Project reshuffles its list of top threats, putting broken access controls and cryptographic failures at the top and creating three new risk categories.
📲 Концепция долга AppSec в безопасности веб-приложений
Компании вынуждены постоянно пересматривать свои приоритеты - и безопасность приложений часто бывает отодвинута на задний план перед скоростью разработки. Почему возникает технический долг AppSec и как с ним бороться?
How AppSec debt hurts your company – and how to make it stop
Компании вынуждены постоянно пересматривать свои приоритеты - и безопасность приложений часто бывает отодвинута на задний план перед скоростью разработки. Почему возникает технический долг AppSec и как с ним бороться?
How AppSec debt hurts your company – and how to make it stop
Invicti
AppSec debt and how it hurts your company | Invicti
Cybersecurity tends to be the first thing to get sidelined whenever company priorities change. If you do this often enough, you will find yourself building up a security technical debt that can really hurt your organization. This post examines the concept…