Информационная безопасность сейчас одна из наиболее горячих тем для обсуждения, которая вышла далеко за пределы ИБ-сообщества. Количество инцидентов и утечек возросло многократно, что стало дополнительным стимулом усиливать безопасность инфраструктуры и приложений, а уход иностранных вендоров только усугубил этот процесс. Одним из новых трендов стало проведение Bug Bounty программ. В этой статье я раскрою основные плюсы и минусы таких подходов как Bug Bounty и penetration testing.

https://habr.com/ru/post/708470/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708470

Open Web Application Security Project (OWASP) — одна из самых известных организаций, целью которой является улучшение защищённости приложений. Большинство специалистов в области информационной безопасности знакомы с OWASP Top Ten. У OWASP есть множество других проектов для различных этапов жизненного цикла разработки программного обеспечения (SDLC).

В предыдущей статье на Хабр я рассказывал о стандарте OWASP ASVS, в котором перечислены требования к безопасности web-приложений. А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос даёт Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности web-приложений, перевод которого я хотел бы представить вашему вниманию.

https://habr.com/ru/post/703322/?utm_source=habrahabr&utm_medium=rss&utm_campaign=703322

Говорят, обещанного три года ждут, но не прошло и двух, с тех пор как здесь появилась первая часть перевода OWASP Application Security Verification Standard 4.0, как я решил доделать начатое. В первой части помимо раздела об архитектуре было подробное введение, дающее представление о стандарте и его назначении. Всем кто его прочитал, и тем, кто знаком с ASVS в оригинале, сразу даю ссылку на итоговый pdf и другие форматы, - возможно, вы откроете для себя что-то новое. Всем остальным предлагаю посмотреть "великолепные цветные диапозитивы" в качестве быстрого погружения.

https://habr.com/ru/post/679654/?utm_source=habrahabr&utm_medium=rss&utm_campaign=679654