AppSec.Hub — это платформа ASPM, которая помогает компаниям управлять процессом безопасной разработки приложений. Она собирает расширенную аналитику по более чем 500 метрикам в области DevSecOps.
Рассказываем про ключевые дашборды AppSec.Hub:
Отслеживает, какие приложения подключены к сканированию, частоту проверок, полноту применения практик ИБ и динамику подключений новых проектов.
Отражает эффективность DevSecOps: среднее время триажа, среднее время устранения (MTTR), средний возраст открытых уязвимостей. Позволяет выявлять узкие места и оптимизировать процессы.
Анализирует уязвимости по инструментам и практикам (SAST, SCA, DAST и др.), распределение по приложениям, статусам и уровням критичности. Позволяет видеть целостную картину текущего состояния безопасности: где сосредоточены основные риски, в каких командах или приложениях накапливаются проблемы, и как меняется ситуация со временем.
Показывает, как меняется технический долг (количество открытых и закрытых дефектов) со временем. Позволяет увидеть, какие уязвимости остаются открытыми, а какие появляются новые, отражая реальную динамику риска, а не только статичные числа.
Распределение уязвимостей по категориям OWASP и CWE, по приложениям и критичности. Для каждой категории мы даем подробное описание того, какие риски несет уязвимость.
Запросите демо, и мы покажем все дашборды платформы и подробно расскажем про каждый из них.
#AppSecHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥6👍3
Мы уделили большое внимание стабилизации и увеличению скорости работы системы, а также добавили три большие фичи:
Что еще?
Оптимизировали работу пользовательского интерфейса в разделах "Информация о компоненте", "Состояние системы" и "История сканирований".
Улучшили навигацию по списку версий компонентов на странице "Информация о компоненте".
Добавили возможность перехода в соседние разделы с виджета "Уязвимые компоненты" в дашбордах.
Ждем комментариев!
#AppSecTrack_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5😎4
Автономный бот hackerbot-claw с моделью Claude-Opus-4.5 автоматически ищет уязвимости в GitHub. Он уже просканировал более 47 тысяч проектов и атаковал 6 популярных open-source репозиториев.
Как проходит атака:
— Бот создается PR с «безобидным» изменением.
— Вредоносный код скрывается в метаданных (например, имени ветки).
— В силу настройки автоматических действий CI/CD пайплайна бот получает RCE.
— Дальше происходит раскрытие токенов и развитие атаки.
В ходе атаки (или исследовательской деятельности) были затронуты различные проекты Microsoft, Datadog, CNCF и Trivy.
AI-агенты резко снижают стоимость поиска уязвимостей, а это значит, что атаки на Supply Chain и CI/CD будут происходить чаще и быстрее. При этом агенты комбинируют техники и находят неожиданные места для инъекции зловредных конструкций. Безопасность пайплайнов это критическая часть РБПО, о чем уже не первый год известно благодаря фреймворку SLSA. Отдельно хочется поблагодарить команду Trivy за открытую коммуникацию и расследование проблемы, это важно для всего комьюнити.
— отметил Константин Крючков, PO AppSec.Track.
— отказ от запуска CI для непроверенных MR,
— ограничение права УЗ, используемой пайплайнами,
— валидация входные данные из PR (имена веток, коммиты, метаданные),
— использование изоляции для CI-раннеров.
Продолжаем с интересом следить за происходящей AI-трансформацией и усиленно работаем над безопасностью!
Подробности про атаку в репозитории Trivy по ссылке.
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍5⚡4👌2
Делимся важными обновлениями нашего SAST-сканера:
Добавили интеграционное API, которое позволяет подключать к системе внешние сервисы.
— оптимизировали производительность агентов сканирования,
— ускорили формирование отчетов,
— дополнили информацию о CWE в отчетах формата .sarif.
1. Открыть файл nginx.conf
2. В секции location /swagger-ui/ заменить значение proxy_pass на proxy_pass https://backend:8095;
3. Если пункты 1 и 2 были сделаны после обновления сканера до версии 26.1.2, выполните команды из папки с docker-compose.yaml:
docker compose down frontend
docker compose up -d
#AppSecWave_релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4👍2
ФСТЭК предупредила о критической уязвимости BDU:2026-02402 в библиотеке MCP Go SDK, которая используется для интеграции LLM с внешними источниками данных. Она получила максимальную оценку 10.0 по CVSS.
На текущий момент нет публично подтверждённых фактов использования именно MCP Go SDK в конкретных отечественных продуктах. При этом Go активно применяется в банковском секторе, телеком-компаниях, e-commerce, а также в сервисах, связанных с обработкой данных. Организации, которые строят собственные ИИ-решения на базе больших языковых моделей и интегрируют их с корпоративной инфраструктурой через MCP, потенциально могут использовать эту библиотеку или её производные.
— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.
Уязвимость может затронуть, например:
— корпоративные ИИ-ассистенты с доступом к внутренним базам данных и сервисам,
— платформы автоматизации бизнес-процессов с ИИ-компонентами,
— DevOps и DevSecOps-инструменты, использующие с ИИ-агентами.
Подробности и рекомендации экспертов на TAdviser.
#Экспертиза_AppSec #ИИ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3🔥2
Послание для подписчиц 💐
С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.
Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником💙
#AppSec_Life
С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.
Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником
#AppSec_Life
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🥰3😍2
Наше решение для шифрования и защиты мобильных приложений от запуска в небезопасной среде размещено в отраслевом Репозитории ИТ-решений для финансовой сферы Ассоциации ФинТех.
Количество e-pay сервисов растет, российские платежные системы в целом уже сумели адаптироваться к ситуации с уходом зарубежных продуктов, однако, если говорить о сервисах шифрования, часто финансовый сектор использует своего рода «микс» из иностранного ПО, а это повышает риски для самого финтеха. Появление на рынке российских решений для шифрования позволяет банковскому сектору и ритейлу не зависеть от геополитики.
— отмечает Юрий Шабалин, руководитель продукта AppSec.Cryptex.
Подробнее на CNews
#AppSecCryptex
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤4👏2
AppSec.Sting — платформа автоматизированного анализа защищенности мобильных приложений, которая помогает выявлять и предотвращать уязвимости в мобильных приложениях благодаря автоматизированному анализу в комбинации практик SAST, DAST, IAST и непрерывному мониторингу.
#AppSecSting #MAST
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤4👍4
Правительство может разрешить компаниям использовать для обучения ИИ-моделей защищенные авторским правом материалы (в первую очередь, научные публикации, учебные пособия и архивные документы) без получения разрешения правообладателей. Это должно ускорить развитие технологий, поскольку доступ к таким данным часто ограничен.
Информацию, которая сегодня защищена законом, включая персональные данные, сведения о налогоплательщиках, частные переписки и прочие чувствительные данные, использовать для обучения ИИ будет нельзя.
Этот вопрос давно назрел: сегодня дизайнер или разработчик не понимает, кому принадлежит результат генерации — ему или владельцу модели. Можно ли использовать его в портфолио, коммерческих продуктах или нужно делиться правами? Инициатива как раз пытается дать на это ясный ответ.
— комментирует Антон Башарин, старший управляющий директор AppSec Solutions.
В индустрии считают, что необходим компромисс: узаконить реальную практику и снизить риски конфликтов вокруг авторских прав.
#Экспертиза_AppSec #ИИ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6⚡2❤1
AppSec Solutions присоединилась к Ассоциации разработчиков программных продуктов (АРПП) «Отечественный софт» — объединению ведущих российских производителей тиражируемого ПО. Сегодня в АРПП входит более 300 отечественных ИТ-компаний.
Сегодня интеллектуальная синергия – это необходимое условие для развития российской ИТ-отрасли, потому что она уже перешла в режим многократного ускорения. Продукты, которые раньше разрабатывались несколько лет, сегодня выходят за несколько месяцев благодаря применению ИИ-технологий, и на этом фоне особенно важно сообща вырабатывать общие критерии безопасности. Для нас сотрудничество с АРПП – вклад в развитие профессионального сообщества.
— отмечает Антон Башарин, старший управляющий директор AppSec Solutions.
Подробнее на CNews
#AISecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥2👍1