🔎 Вебинар “MAST: Встраиваем безопасность мобильных приложений в конвейер разработки ПО”

Согласно исследованию AppSec Solutions, 88,6% Android-приложений содержат уязвимости высокого и критического уровня — это на 33% больше, чем в 2023 году.

Основная тенденция — переход к комплексной, риск-ориентированной стратегии безопасности, которая учитывает не только технические аспекты, но и реальные сценарии атак, важность данных и географические ограничения.

📊 На вебинаре 29 сентября в 14:00 обсудим:

▶️ Понимание масштабов и типов угроз в мобильном ПО со статистикой по платформам и сферам
▶️ Внедрение ИБ-практик в процесс разработки мобильных приложений
▶️ Анализ уязвимостей автоинструментом и протектор для защиты + демо продуктов

🎙 Спикеры:
– Юрий Шабалин, руководитель продуктов AppSec.Sting и AppSec.Cryptex
– Никита Пинаев, руководитель отдела анализа защищенности

Вебинар будет полезен специалистам из компаний, чьи приложения обрабатывают чувствительные данные: финтех, e-commerce, здравоохранение и корпоративные сервисы.

➡️Участие бесплатное. Регистрируйтесь по ссылке.

#AppSec_Вебинары

😮 Новый продукт от AppSec Solutions — ИИ-платформа для защиты от киберугроз

AppSec.GenAi – это решение, которое позволяет обеспечивать комплексный подход к безопасности больших языковые моделей и генеративных ИИ-систем. Продукт нацелен на поиск уязвимостей и анализ устойчивости ИИ-системы к кибератакам.

Инструмент подходит для языковых моделей, разработанных под задачи любого бизнеса: финтеха, медицинских ИИ-технологий, управления производством или БигТеха.

Мы проверяем все распространенные типы модальностей моделей более, чем 40 типами сценариев. Это позволяет оценить как модель реагирует на небезопасные воздействия, например: отклоняется ли от своих инструкций безопасности, готова ли отвечать на провокационные вопросы и генерировать нежелательный контент. По итогам проверок пользователю доступны несколько типов отчетов, включающих в себя оценку воздействия, рекомендации, а также логи, позволяющие проанализировать поведение модели в момент атаки. Кроме того, сканер может быть интегрирован в процесс разработки на ранних этапах, что позволяет проводить сканирование на уязвимости еще на стадии тестирования моделей, до внедрения в эксплуатацию.

– рассказала Мария Усачева, руководитель продуктов AI Security, AppSec Solutions.

➡️Подробнее в нашем пресс-релизе.

#AppSecGenAI

⚖️ iOS vs Android: что безопаснее?

На Mobile Meetup 10 сентября Юрий Шабалин, директор по продукту AppSec.Sting, развеял миф о безопасности приложений на платформе iOS. 🔽

1️⃣Закрытость системы не означает защищенность. Исследования AppSec.Sting показывают, что при сравнении одного и того же приложения версию для iOS чаще всего намного проще анализировать, чем их Android-аналог.

2️⃣KeyChain (связка ключей в iOS) — не самое надежное место для хранения данных. Злоумышленник может получить копию ключей через устройство Jailbreak, при восстановлении бэкапа на взломанное устройство, облачную синхронизацию. Некорректные флаги доступа также расширяют вектор атаки. А еще данные не исчезают при удалении приложения.

3️⃣Распространенные заблуждения о безопасности

✖️Скомпилированный код = безопасный — нет, все строки можно получить одной командой, а имена функций зачастую остаются "говорящими".

✖️ Песочница надежно защищает файлы — нет, их можно достать через Jailbreak, локальные и облачные бэкапы.

✖️ Bundle приложения безопасен — нет, он может содержать mock-компоненты, файлы сборки с зависимостями, контакты команды, тестовые ключи, сертификаты и еще много информации, которую забыли убрать из релизной сборки.

4️⃣Особенности бэкапов в iOS и Android

🎱В Android: единая политика, контроль локальных и облачных бэкапов, на старших версиях локальный бэкап deprecated (устаревший).

🎱В iOS: каждый файл нужно помечать, классы защиты настраиваются вручную, нет возможности отключить бекапы совсем.

💡 Не полагайтесь только на платформу. Делайте собственный «пояс безопасности» на уровне приложения.

📺Подробнее смотрите на нашем Rutube-канале.

#экспертизаAppSec #AppSecSting

Как защитить веб-приложения от уязвимостей с первых этапов разработки?

Множество утечек данных происходит из-за уязвимостей в веб-приложениях. Пока разработчики пишут код, злоумышленники ищут бреши. Какие подводные камни встречаются на каждом этапе разработки? И как управлять процессом, чтобы обезопасить свои приложения?

🎙Разберем эти вопросы 22 сентября на онлайн-мероприятии "Axoft Студия: Защита Web-приложений: от разработки и до продакшена". В обсуждении примет участие Андрей Юрченко, руководитель группы развития продаж AppSec решений, AppSec Solution, а также эксперты из Axoft, Солар и Лаборатории Касперского.

На круглом столе обсудим:

▶️ Оpen source – друг или враг? Какие подводные камни могут помешать обеспечению безопасности?

▶️ Цикл безопасной разработки – от статичного анализа до безопасности контейнеров

▶️ Что такое ASOC или как эффективно управлять процессом РБПО?

▶️ Актуальность класса решений MAST – почему приложения требуют особого подхода?

▶️ DevSecOps as a Service – целесообразен ли аутсорсинг для безопасной разработки?

▶️ Как на рынок повлиял ГОСТ 56939-2024 «Защита информации. Разработка безопасного программного обеспечения»?

Приходите, чтобы узнать, как выстроить безопасную разработку и защитить свои веб-приложения на всех этапах.

Регистрация 🖥

#AppSec_Мероприятия

🙅‍♂️ Почему нейросети не заменят разработчиков? Отвечает Git-эксперт

ИИ активно развивается, поэтому разговоров о том, что нейросети смогут полностью заменить программистов, становится всё больше. Руководитель продукта AppSec.Code Евгений Колунтаев, рассказывает, почему это пока невозможно.

Что важно знать:

▶️ Нейросети обучаются на открытых репозиториях с неравномерным качеством кода, включая уязвимости и бэкдоры.

▶️ Чем крупнее и сложнее проект, тем больше ошибок у ИИ.

▶️ Чрезмерное делегирование ведет к потере компетенций в командах (люди не могут повторить то, что делали с помощью ИИ).

Как действовать, чтобы не потерять контроль:

✔️ Внедрить практики code review как обязательный этап разработки

✔️ Оценить качество ИИ-инструментов, которыми пользуются разработчики

✔️ Сформировать культуру DevSecOps


Полный разбор читайте по ссылке. 🖥

#Экспертиза_AppSec

🔜 AppSec Solutions на Podlodka iOS Crew

Почему iOS-приложения считаются безопаснее Android? Обсудим 24 сентября на конференции Podlodka iOS Crew.

🎙Юрий Шабалин, директор по продукту AppSec.Sting, выступит с докладом «Мифы безопасности iOS-приложений или почему Android лучше?»

⏰ 10:00–11:00
🌐 Онлайн

Эксперт расскажет:

▶️ Почему принято считать, что iOS-приложения безопаснее Android

▶️ Почему iOS система считается более защищенной

▶️ Какие дыры безопасности реально есть в «яблочных» приложениях.

Podlodka iOS Crew — онлайн-конференция про IT c однонедельными интенсивами. Тема нового сезона: «Хакерский iOS»: неофициальные сторы, взлом приложений, обходы ограничений, поиск уязвимостей и мобильная разведка.

#AppSec_Мероприятия #AppSecSting

🆒 Релиз AppSec.Code 25.3.1: что нового?

Рассказываем про главные обновления в платформе управления исходным кодом AppSec.Code:

▶️ Метрики качества кода
Теперь в аналитике проекта можно следить за:
— количеством функций в кодовой базе,
— количеством строк,
— уровнем цикломатической сложности.
Так вы будете видеть прогресс и динамику изменений в реальном времени.

▶️ Рефакторинг кодой базы
Мы переработали структуру кода, чтобы продукт развивался быстрее и стабильнее, а командам было проще снижать технический долг, повышать читаемость и тестируемость кода.

▶️ Русская локализация
Интерфейс стал ещё понятнее и удобнее для всех пользователей.

Подробнее про метрики качества кода смотрите в видео.🔼

#AppSecCode_релизы

🛡 Supply Chain Attack: как управлять рисками в цепочке поставок

Атаки через цепочку поставок — уже не экзотика, а реальность 2025 года. Взломы подрядчиков стали привычным способом добраться до крупных компаний. «Галочки» в анкетах и сертификаты безопасности больше не спасают, нужна реальная оценка рисков и постоянный мониторинг.

Что важно учитывать:

▶️ Оценка поставщиков должна быть непрерывной и основанной на реальных данных: внешние рейтинги, анализ уязвимостей, зрелость процессов.

▶️Стоит помогать партнерам внедрять базовые меры, такие как MFA, резервное копирование и контроль доступа.

▶️ Гибкие SLA и совместные учения помогают быстрее реагировать на инциденты.

Безусловно, нужен алгоритм совместных действий в том случае, если на инфраструктуре поставщика произошел инцидент. Исключить такой сценарий невозможно, потому что сегодня злоумышленники, нацеленные на крупные мишени, целенаправленно работают по цепочке поставок. Достаточно вспомнить кейс SolarWinds, но есть и множество других примеров. Вот это нужно обсуждать с поставщиком. Всегда есть SLA по поддержке, но обычно забывают туда включить SLA по выявлению и устранению уязвимостей. А это решается на уровне договора, тем более, если вы технологически более зрелая компания и можете предложить партнеру помощь в сложной ситуации, — отметил Константин Крючков, руководитель продукта AppSec.Track.

👍Гибкий подход и совместная ответственность снижают риски и ускоряют реагирование на инциденты.

Подробнее в Cyber Media. 🖥

#Экспертиза_AppSec

5 минут до старта!🎙

Подключайтесь к вебинару «MAST: Встраиваем безопасность мобильных приложений в конвейер разработки ПО» и задавайте вопросы в прямом эфире нашим спикерам.

Ищем Java-разработчика в команду AppSec.Track

Привет! Я Костя Крючков, руководитель AppSec.Track — инструмента для безопасной работы с Open-Source компонентами и предотвращения атак на цепочку поставок ПО.

🔗 Наш продукт: простой для пользователя, но технологически сложный и обрабатывает огромные объемы данных. Над проектом работает крутая команда бэкенд-, фронтенд-, DevOps-инженеров, тестировщиков и аналитиков.

💻 Сейчас мы развиваем новые фичи и ищем Java-разработчика (Middle+/Senior).

Чем предстоит заниматься:

▶️ Backend-разработка

▶️ Сопровождение и доработка существующего функционала

▶️ Участвовать в создании масштабируемых и безопасных сервисов

Наш стек: Java 8–21, Spring Boot, Micronaut, Python, Angular 17, PostgreSQL, MongoDB, ClickHouse, Redis, RabbitMQ.

🔝 Почему стоит присоединиться:
— Будешь драйвить крутые проекты и фичи
— Работа с классной командой, где каждый любит свое дело — Удаленка/гибрид/офис — выбирай, что удобнее
— ДМС после испытательного срока

➡️ Узнать подробнее и откликнуться.

#AppSecTrack #AppSec_Команда

📇 Что говорит стандарт Цифрового рубля про мобильные приложения

📄 20 ноября 2024 года был опубликован Стандарт платформы цифрового рубля, который определяет статус мобильных приложений с интегрированным программным модулем Банка России (ПМ БР) и задает требования к их безопасности, регуляторному соответствию и контролю.

Юрий Шабалин, руководитель продукта AppSec.Sting, в новом выпуске BIS Journal объясняет, как современные DevSecOps-практики помогают соблюдать эти требования без ущерба для скорости и качества разработки.

Стандарт цифрового рубля задает правильные цели: он обеспечивает безопасность и контроль критически важного компонента — Программного модуля Банка России. Для индустрии мобильной разработки это значит не только новые требования, но и возможность использовать существующие технологии, методики и практики для создания эффективных и безопасных решений. Современные DevSecOps-подходы позволяют сочетать регуляторное соответствие, защиту пользователя и высокую скорость разработки, что делает мобильные приложения платформы цифрового рубля надежными и удобными одновременно.

— отмечает Юрий Шабалин.

Из статьи вы узнаете:

▶️ Какие требования выдвигает стандарт цифрового рубля к мобильным приложениям

▶️ Что такое трассы вызовов и как их получить

Читать 🖥

#Экспертиза_AppSec

😉 43 % — средний уровень использования ИИ в России

3 октября Антон Башарин, старший управляющий директор AppSec Solutions, выступил на конференции GIS DAYS 2025, где рассказал о росте внедрения ИИ в разных отраслях, возникающих рисках на всех этапах жизненного цикла моделей и о том, как обеспечить их безопасность с помощью матрицы угроз AI.

📊 Лидеры по внедрению ИИ:

Наибольшая активность отмечена в сфере высшего образования (72 %), за ним следуют ИКТ (70 %), финансовые услуги (63 %), медиа и СМИ (62 %) и топливно-энергетический сектор (58 %).

Главные выводы:

▶️ Матрица безопасности ИИ формирует проверяемые требования к моделям и мотивирует к практическим мерам по обеспечению их защищенности.

▶️ Процесс защиты моделей AI должен включать этапы: Выявить → Оценить → Защитить → Подтвердить доверие.

▶️ Для LLM подход DevSecOps превращается в MLSecOps, интегрируясь в процессы разработки и эксплуатации моделей.

▶️ Эффективно оценить защищенность ИИ-моделей можно с помощью инструментов, которые соответствуют современным моделям угроз AI.

Матрица безопасности ИИ — это практический инструмент доверия: угрозы формируются в проверяемые требования, а требования — в практические шаги по обеспечению защиты и уверенность, что система работает безопасно.

— отметил Антон Башарин.

Проверьте киберустойчивость ваших моделей с помощью AppSec.GenAI. Решение соответствует всем современным моделям угроз ИИ: OWASP Top 10 LLM, MITRE ATLAS, СБЕР.

➡️ Заказать демо

#Экспертиза_AppSec #AppSecGenAI #ИИ #AI_Security #Цифра_дня

🛡 MLSecOps — как защищать ИИ от атак и ошибок

ИИ-системы уже в продакшене, но многие компании пока не готовы защищать модели, данные и пайплайны так же тщательно, как остальную инфраструктуру.

Антон Башарин, старший управляющий директор AppSec Solutions, принял участие в эфире AM Live, в котором вместе с экспертами обсудил:

▶️ Как построить полноценный MLSecOps-процесс

▶️ Реальные примеры adversarial-атак и poisoning

▶️ Работу защиты в боевых условиях: от DLP до Explainable AI

▶️ Главные риски и как их закрывать

⬇️ Смотрите запись и выстраивайте безопасность ИИ осознанно!

#Экспертиза_AppSec #ИИ #AI_Security

🆓 Вышел AppSec.Hub 2025.3.2!

Новый релиз с фокусом на удобство, контроль и стабильность. Мы сделали интеграции мощнее, триаж — проще, а платформу — надежнее.

🔗 Что нового в интеграциях

▶️ AppSec.Track: гибкое получение OSA-сработок с контролем и настройкой пользовательского расписания

▶️ CodeScoring: больше данных по уязвимостям: наличие эксплойта, референсы, тип зависимости и многое другое

▶️ PT Application Inspector: поддержка Java 21 и импорт комментариев для более точного анализа

🔝 Ключевые улучшения

▶️ Добавили возможность менять Severity и создавать запросы на смену статуса без права триажа

▶️Hub Engine теперь поддерживает PT BlackBox, ZAP, SonarQube и AppSec.Sting

▶️ Новые фильтры по наличию эксплойта и типу зависимости — быстро находите критичные уязвимости

▶️ Автообновление описаний дефектов при изменении связанных уязвимостей с синхронизацией

▶️Мониторинг здоровья сервисов через API и актуализация данных LDAP для стабильной работы платформы

А еще улучшили стабильность и безопасность платформы — подробнее обо всех изменениях на сайте. 🖥

#AppSecHub_Релизы

🎙 Вебинар «SAST-анализатор нового поколения AppSec.Wave»

Классические SAST-сканеры часто сложны в использовании, медленно работают и выдают множество ложных срабатываний — из-за этого падает продуктивность команд и растет технический долг.

Узнайте о преимуществах нашего нового решения AppSec.Wave на вебинаре 11 ноября в 14:00.

Разберем:

▶️ Чем полезен AppSec.Wave

▶️ Схему работы инструмента

▶️ Как максимально эффективно интегрировать сканер в процесс разработки безопасного ПО

▶️ Практические примеры применения AppSec.Wave


🎤 Спикеры:

— Антон Прусак, руководитель продукта AppSec.Wave

— Владислав Фефелов, директор по работе с партнерами AppSec Solutions

➡️ Регистрируйтесь и готовьте свои вопросы.

#AppSec_Вебинары