⌛ Угрозы открытого кода: новые риски в компонентах AI и ML

Сегодня более 50% библиотек с открытым содержат серьезные уязвимости. Проблема усугубляется тем, что теперь уязвимости встречаются не только в классических пакетах, но и в модулях искусственного интеллекта и машинного обучения.

🔗 В новом выпуске BIS Journal руководитель продукта AppSec.Track Константин Крючков объясняет, как меняется ландшафт угроз с появлением AI и ML-компонентов и как инструменты класса OSA/SCA помогают предотвратить атаки на цепочки поставок ПО.

Эксперт рассказал:

▶️ Какие угрозы несут компоненты c открытым исходным кодом

▶️ Как анализ достижимости меняет подход к приоритизации уязвимостей

▶️ Как детектировать AI и ML-компоненты и управлять их рисками

Читать статью 🖥

#Экспертиза_AppSec #OSA #SCA

AppSec.CoPilot вошел в «Карту российского ИИ 2.0»

Наш AI-инженер для анализа и приоритизации уязвимостей AppSec.CoPilot вошел в «Карту российского ИИ 2.0» от бизнес-медиа «Инк».

Это самое полное исследование российского рынка генеративного ИИ:

▶️ 170+ сервисов

▶️ Разбивка по категориям

▶️ Данные по инвестициям

▶️ Таблица с описанием и фильтром

Карта полезна всем, кто выбирает ИИ-решения для бизнеса или следит за развитием рынка.

➡️ Смотрите карту

#AppSecCoPilot #AISecurity

⚙️ SBOM: как бизнесу увидеть, из чего состоит его софт, и сделать его безопаснее

Сегодня почти любое ПО создается с использованием внешних библиотек и модулей. Это ускоряет разработку, но и несет риски: уязвимости в стороннем коде могут стать угрозой для бизнеса.

📄 Аркадий Комиссарчук, аналитик информационной безопасности AppSec Solutions, объясняет, почему прозрачность в ПО становится новой нормой и как SBOM (Software Bill of Materials) помогает компаниям:

▶️ Быстрее реагировать на угрозы

▶️ Минимизировать репутационные и финансовые потери.

▶️ Контролировать цепочку поставок ПО

▶️ Упростить аудит и обеспечить соответствие отраслевым
и регуляторным требованиям

Читайте статью в BIS Journal 🖥

#Экспертиза_AppSec #SBOM #SCA

🆓 Встречайте релиз AppSec.Hub 2025.4.2!

В этой версии мы усилили интеграции и сделали работу с уязвимостями и дефектами еще быстрее.

🔗 Новые интеграции:

▶️ TeamStorm: добавили поддержку нового дефект-трекера TeamStorm для удобного управления совместной работой

▶️ AppSec.Wave: интегрировали SAST-анализатор AppSec.Wave, чтобы ускорить и упростить анализ уязвимостей

▶️ AppSec.CoPilot: добавили интеграцию с умным сканером AppSec.Copilot для получения прогнозов и объяснений уязвимостей из SAST

🔄 Ключевые обновления:

▶️ Внедрили поддержку OSA для Docker registry в интеграции с AppSec.Track

▶️ Оптимизировали и ускорили процесс импорта уязвимостей

▶️ Улучшили работу со списком и деталями дефектов — теперь быстрее и удобнее

Подробнее обо всех изменениях на сайте 🖥

#AppSecHub_Релизы

👍 Как полюбить вайб-кодинг и перестать бояться ИИ-инструментов

На конференции UfaDevConf Сергей Вархамов, ведущий разработчик интерфейсов AppSec Solutions, рассказал, почему решил погрузиться в вайб-кодинг и как этот подход помогает ускорить разработку и уменьшить рутину.

В докладе он разобрал:

▶️ В чем разница между ассистентами и агентами

▶️ Что такое локальные и глобальные промпты

▶️ Из чего состоит хороший промпт

▶️ Зачем нужен MCP (Model Context Protocol) и как он работает

ИИ — это не волшебная палочка, а мощный инструмент, если понимать, как им пользоваться. Я начал писать глобальные и локальные правила и регулярно обновлять их. Системно использую MCP для доступа к инструментам, структурирую промпты и даю максимум контекста. В итоге — меньше рутины, больше фокуса на архитектуре и бизнес-логике, а благодаря правилам и MCP — заметно меньше галлюцинаций.

— поделился Сергей.

🟢 Советы от эксперта для начинающих:

1️⃣ Выберите один инструмент: Cursor, Continue, RooCode, Windsurf, Claude Code — не важно, какой, главное — начать.

2️⃣ Напишите один глобальный промпт под свою роль: кто вы, какой стиль кодинга, какие принципы разработки.

3️⃣ Заведите первое локальное правило: можно попросить ИИ написать правила на основе кода вашего проекта — это правда работает.

4️⃣ Начните с одного реального кейса в своем проекте: новая функция, рефакторинг, документация.

🎙 Смотрите запись доклада на Rutube.

#Экспертиза_AppSec #ИИ #вайбкодинг

🔠 Следом встречайте новый релиз SAST-анализатора AppSec.Wave — 25.4.5

Рассказываем, что нового:

▶️ Управление репозиториями

Теперь на страницах «Администрирование» отображается список всех репозиториев. Также появилась возможность добавлять, редактировать и удалять репозитории, управлять учетными данными в настройках, а также поддержка работы в ролевой модели.

▶️ Taint-анализ и работа с уязвимостями

На странице конкретной уязвимости отображается поток данных для taint-анализа (точка входа, промежуточные точки, точка выхода). Вы можете группировать уязвимости по критичности, типу и файлу, в котором они обнаружены, а также проводить групповой триаж.

▶️ Обновленная ролевая модель

Добавили права на работу с репозиториями, а в групповых доступах — возможность проведения триажа уязвимостей.

➡️ Обновляйте AppSec.Wave по инструкции.

Подробности о релизе на сайте. 🖥

#AppSecWave_релизы #SAST