Для успеха компании уже недостаточно, чтобы выпущенный продукт был «достаточно хорошим». Сегодня бизнесы должны предоставлять высококачественные цифровые сервисы, которые обладают не только высокой производительностью и степенью доступности, но и являются конфиденциальными и безопасными.



Но как всего этого достичь? Один из способов, доступных команде DevSecOps — реализовать систему наблюдаемости, использующую логи (и другие средства) для сбора больших объёмов данных во взаимодействиях пользователя и угрожающих средах. Выполняя логирование и анализ данных безопасности и наблюдаемости, можно лучше распознавать и устранять множество проблем, например, проблемы с производительностью, уязвимости и нарушения безопасности, что повышает качество сервисов.



В этой статье мы рассмотрим вопрос широкомасштабного сбора данных и, в частности, то, как в этом могут помочь логи. Мы разберём различия между данными наблюдаемости и безопасности, поговорим о том, как лучше собирать все эти данные. Затем мы посмотрим, как использовать эти данные для совершенствования приложения, а также узнаем, как реализовать централизованный единый механизм для сбора данных. Читать дальше →

https://habr.com/ru/post/713682/?utm_source=habrahabr&utm_medium=rss&utm_campaign=713682

Всем привет!

В этой статье хочу поговорить о технологических вызовах, рассмотреть наиболее актуальные сегодня практики безопасной разработки с точки зрения современных запросов индустрии, поделиться собственным взглядом на тренды отрасли и вектора развития в текущих реалиях.

Я Юрий Сергеев, основатель и генеральный партнер Swordfish Security. В нашем блоге мы рассказываем о новых трендах в индустрии DevSecOps, о трудностях, с которыми сталкиваемся, о применяемых инструментах, а также о том, к чему готовиться в будущем.

Читать далее

https://habr.com/ru/post/702732/?utm_source=habrahabr&utm_medium=rss&utm_campaign=702732

Positive Technologies 24 и 25 ноября примет участие в конференции для разработчиков высоконагруженных систем HighLoad++ 2022.

Заходите на наш стенд, чтобы пообщаться с экспертами, узнать методы поиска уязвимостей и обеспечения безопасности ПО, поискать уязвимости в ходе конкурса, выиграть мерч, а еще сделать тату, раздобыть стикеры и выпить газировки из нашего взломанного советского автомата.

Подробнее

https://habr.com/ru/post/700538/?utm_source=habrahabr&utm_medium=rss&utm_campaign=700538

Что нас ждёт в будущем? Куда мы движемся, и насколько светлое это будет время? Такие вопросы актуальны в любой момент развития человеческой цивилизации, в том числе и сейчас. Хотя люди больше хотят верить хорошим прогнозам, чем плохим, но важно смоделировать все варианты.



В недавней редакционной статье технологический совет журнала Forbes обсудил несколько технологий и трендов, которые могут сильно повлиять на индустрию разработки ПО в ближайшие годы.



Некоторые прогнозы кажутся логичными, но есть и спорные.
Читать дальше →

https://habr.com/ru/post/693640/?utm_source=habrahabr&utm_medium=rss&utm_campaign=693640

Девопс есть во многих компаниях, но он везде разный. Чтобы понять, что происходит в отрасли, какие есть тренды и какие компетенции будут востребованы, мы провели круглый стол с экспертами. Обсуждаем, где девопс сейчас, каковы тенденции и чего ждать компаниям и девопс-инженерам в будущем.

Эта статья — краткий конспект круглого стола «Куда катится девопс». Если не хотите читать, можно посмотреть запись.

Спикеры ответят на пять вопросов о девопсе. Где-то их мнения совпадут, где-то нет — выводы для себя делайте сами.

Читать дальше

https://habr.com/ru/post/687434/?utm_source=habrahabr&utm_medium=rss&utm_campaign=687434

Мы продолжаем делать видеоконтент, который может быть полезным как начинающим безопасникам, студентам, так и ИБ-и ИТ-специалистам. Сегодня публикуем 2 новых ролика Security Small Talk. В первом смотрите об управлении секретами в DevOps-окружениях, во втором найдете интересные факты о реагировании на инциденты и их расследовании.

Читать далее

https://habr.com/ru/post/685662/?utm_source=habrahabr&utm_medium=rss&utm_campaign=685662

Бортовой лог №1, 23.08.20xx. Говорит Денис Кораблёв, капитан одного из научно-исследовательских кораблей Positive Technologies. Я поручил нашему ай-ай открыть шампанское: сегодня вышел из беты DAST-сканер PT BlackBox.

Что такое DAST-сканер? Какие функции он выполняет? Почему без него в разработку не внедрить качественные практики DevSecOps? И кто такой ай-ай?.. Ответы дадут собранные в этом посте бортовые логи. А если вы уже разбираетесь в DevSecOps, то логи раскроют тонкости нашей работы и расскажут о её результате — PT BlackBox.

Читать далее

https://habr.com/ru/post/684034/?utm_source=habrahabr&utm_medium=rss&utm_campaign=684034

Привет, Хабр!

И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно сталкиваемся с различными нюансами и сложностями при реализации практик DevSecOps. Ранее мы уже обсуждали SAST и OSA, а сегодня я бы хотел поговорить про практику автоматизированного динамического анализа приложений (DAST). А именно, какие подводные камни нас ждут при внедрении данной практики, какие особенности следует учитывать и как избежать проблем.

Ну что же, приступим.

Читать далее

https://habr.com/ru/post/683958/?utm_source=habrahabr&utm_medium=rss&utm_campaign=683958

Контролировать качество исходного кода как можно раньше в жизненном цикле проекта - хорошая практика. Давайте разберемся, как применять этот принцип в работе с Kubernetes.

В целом, компании всегда ищут способы увеличить свою продуктивность на всех уровнях: инфраструктура, люди, процессы и др. Зачастую продуктивность достигается за счет внедрения автоматизированных процессов для облегчения работы и увеличения темпов производства. Подобная автоматизация требует эволюции, адаптации или даже полной трансформации концептов, используемых ранее. Это включает в себя обеспечение и контроль политик безопасности.

В самом деле, с появлением новых методов работы, основанных на гибкости (вроде DevOps), некоторые принципы безопасности пришлось адаптировать к темпам развития и управления компонентами инфраструктуры. Сегодня одна из наиболее безопасных практик - это как можно раньше переместить эти контрольные точки в цепи интеграции, чтобы быстрее обнаруживать любые аномалии, заслуживающие особого внимания.

Читать далее

https://habr.com/ru/post/682612/?utm_source=habrahabr&utm_medium=rss&utm_campaign=682612

Привет, Хабр!

Меня зовут Света Газизова, я ведущий аудитор компании Swordfish Security. Поговорим сегодня о безопасной разработке, вернее, об инструментах, которые могут сделать ее проще (или нет).

Никому не хочется быть на прицеле у хакеров. Все боятся, что данные клиентов утекут в сеть. И уж тем более никто не желает видеть по ночам кошмары про DDoS-атаки. Инструменты безопасности (лекарства от всех этих страхов) вроде бы и есть, но ими сложно управлять. А кроме этого, нужно постоянно следить за разработкой. Неплохим выходом из этой мрачной реальности может стать фреймворк безопасной разработки. Главное — уметь его готовить. На сегодняшний день таких фреймворков существует несколько, самые яркие — Microsoft SDL, OWASPSAMM, OpenSAMM, BSIMM. О последнем как раз пойдёт речь в этой статье.

Содержание:

Посмотреть самое интересное

https://habr.com/ru/post/680616/?utm_source=habrahabr&utm_medium=rss&utm_campaign=680616

Я думаю, многие слышали про громкий инцидент произошедший с Tesla в 2018 году, когда группа хакеров через консоль Kubernetes смогли получить доступ к аккаунту. После чего изрядно повеселились и настроили майнер в облачном сервисе Amazon Web Services. У многих людей сразу же возникает вопрос в голове “Как они это сделали?” и “Почему многоуважаемые ИБ данной компании не подумали о потенциальной дыре в безопасности?”. Как правило при разработке любого продукта бывают лишь две причины возникновения уязвимостей. Первая причина - человеческий фактор. Кто из нас не забывал что-либо в ходе кропотливой работы над проектом и кто не откладывал в бэклог решение “не самых срочных вопросов..?”. И, наконец, вторая причина - отсутствие необходимых компетенций в той или иной области.

Читать далее

https://habr.com/ru/post/679114/?utm_source=habrahabr&utm_medium=rss&utm_campaign=679114

Какие плюсы есть у SAST? Чем он отличается от DAST? Что такое IAST? Что значат все эти слова?! Об этом (и не только) расскажем в статье-разборе основных видов Application Security Testing (далее AST).

Читать дальше →

https://habr.com/ru/post/676718/?utm_source=habrahabr&utm_medium=rss&utm_campaign=676718

Когда дело доходит до защиты ваших облачных ресурсов, безопасность должна быть основным приоритетом всей организации. Путь к зрелому DevSecOps нет так прост и очевиден, но есть много экспертов, которые знают, какие необходимы компоненты для надежной программы безопасности.

Почти 85% респондентов Upskilling IT 2022 заявили, что DevOps или DevSecOps являются важными или необходимыми операционными моделями. Поэтому мы обратились к представителям DevOps Institute, которые поделились своим мнением по этой важной теме. Вот несколько общих идей о том, как выстроить эффективную DevSecOps-стратегию:

Читать далее

https://habr.com/ru/post/678842/?utm_source=habrahabr&utm_medium=rss&utm_campaign=678842