📇 Какие требования приказа ФСТЭК России №117 помогают выполнить решения AppSec Solutions

С 1 марта 2026 года вступит в силу приказ ФСТЭК России №117. Обновляются требования о защите информации в системах госорганизаций (ГИС и другие системы госорганов), персональных данных (ИСПДн) и значимых объектов КИИ.

Рассказываем, какие утвержденные требования помогут выполнить решения AppSec Solutions. ⬇️

1️⃣Пункт 50: требование о наличии процессов и практик РБПО. Обязательно в случае самостоятельной разработки, при заказной разработке — на усмотрение заказчика.

▶️ AppSec.Hub — платформа безопасной разработки (ASPM).

▶️ AppSec.Code — платформа для управления исходным кодом приложений и репозиториями в безопасной среде (Git).

▶️ AppSec.Wave — универсальный анализатор уязвимостей в исходном коде (SAST).

▶️ AppSec.Track — платформа предотвращения атак на цепочку поставок ПО через компоненты с открытым исходным кодом (OSA/SCA).

▶️ AppSec.Sting — платформа автоматизированного анализа защищенности мобильных приложений (MAST).

Что делают: помогают внедрять процессы безопасной разработки, управлять уязвимостями и контролировать безопасность ПО на всех этапах разработки.

2️⃣ Пункт 61 (подпункты в, г): требования безопасности при использовании ИИ.

▶️ AppSec.GenAI — сканер уязвимостей ИИ-моделей.

Что делает: выявляет и оценивает устойчивость ИИ-моделей, анализирует защищенность ИИ-моделей.

🛡 Если вы хотите выстроить безопасную разработку и выполнить требования приказа ФСТЭК России №117 в части РБПО и безопасности при использовании ИИ, мы поможем подобрать решения под задачи вашей команды.

#AppSecSolutions #РБПО

ℹ️ Каждая шестая уязвимость в приложениях знакомств — критическая

Эксперты AppSec.Sting проверили 100 популярных мобильных приложений для знакомств и выявили почти 2000 уязвимостей, из которых:

▶️ 17% носят критический характер

▶️ 23% относятся к средней критичности

▶️ 14% имеют низкий уровень опасности

▶️ 46% классифицированы как информационные

Среди критических уязвимостей наиболее распространенная — хранение чувствительной информации в исходном коде, ее обнаружили в 22 приложениях. Еще одной частой проблемой является сохранение паролей, токенов и ключей доступа в открытом виде — мы нашли это в 46 приложениях.

— отмечает Никита Пинаев, руководитель отдела анализа защищенности AppSec.Sting.

💡 В среднем на одно приложение приходится 20–30 уязвимостей, связанных с небезопасным хранением данных, некорректной аутентификацией, недостаточной авторизацией и SQL-инъекциями.

Ловите чек-лист по защите мобильных приложений:

🎱 Внедряйте проверки безопасности на всех этапах разработки.

🎱 Держите ключи и токены в защищенных хранилищах.

🎱 Регулярно обновляйте сторонние библиотеки и компоненты.

🎱 Укрепляйте аутентификацию и управление сессиями.

🎱Используйте шифрование и защищенные каналы связи для передачи персональных данных.

Подробнее 🖥

#Экспертиза_AppSec

🔄 Вышел релиз AppSec.Wave 26.1.1

Рассказываем про главные обновления нашего SAST-анализатора:

▶️ Расширена статусная модель процесса сканирования
Теперь вы можете отслеживать ход тестирования с большей детализацией благодаря новым статусам "Загрузка кода" и "Обработка результатов".

▶️ Дополнен интерфейс групповой обработки уязвимостей
Улучшили процесс совместной работы с дефектами, сделав её более удобной и быстрой.

▶️ Оптимизирована работа агентов сканирования
Усилили производительность наших агентов, что позволяет проводить сканирование быстрее и получать отчеты в кратчайшие сроки.

➡️ Обновляйтесь и пробуйте новые возможности!

#AppSecWave_релизы

⚡️ Цифровой рубль в мобильных банках

Проект цифрового рубля переходит в практическую плоскость. Банки пилотной группы уже интегрируют Программный модуль Банка России (ПМ БР) в свои мобильные приложения.

Встраивание такого модуля превращает обычное банковское приложение в среду функционирования средств криптографической защиты информации (СКЗИ), что автоматически активирует жесткие требования регуляторов.

❓ Как совместить требования безопасности с реальностью мобильной разработки, в которой релизы выходят, как правило, каждые две недели?

В новой статье Юрий Шабалин, руководитель продукта AppSec.Sting, разобрал:

▶️ что показал пилотный тест Программного модуля,

▶️ почему для ПМ БР эффективнее анализировать бинарный код,

▶️ как проверка трасс вызовов помогает соблюдать требования регуляторов без ущерба для Time-to-Market.

Читайте в BIS Journal 🖥

#Экспертиза_AppSec #цифровойрубль

🔗 AppSec Solutions и Cicada8 подтвердили технологическую совместимость для защиты цепочек поставок ПО

Рады объявить о технологическом партнерстве с Cicada8 — компанией по управлению уязвимостями и цифровыми угрозами в реальном времени. Вместе мы создали интеграционное решение для защиты от атак на цепочки поставок (Supply Chain Security).

⚙️ Архитектура решения строится на связке ASPM-платформы AppSec.Hub, которая консолидирует полученные данные и реализует процесс централизованного управления уязвимостями, и Cicada8 Dependency Firewal, который выступает в качестве единого шлюза для всех внешних и внутренних артефактов.

Главные преимущества:

▶️ Для руководителей: прозрачный контроль безопасности и мониторинг ключевых метрик (время устранения уязвимостей, уровень защищенности версий ПО).

▶️ Для ИБ‑специалистов: единая консоль для триажа уязвимостей и управления рисками.

▶️ Для разработчиков: четкие инструкции по устранению дефектов и снижение количества остановок сборок.

Современная разработка требует решений, которые встраиваются в процесс, а не ломают его. Связка наших продуктов реализует зрелый подход к DevSecOps: мы не просто блокируем угрозы, но и даем бизнесу контекст — в каком приложении и в какой сборке возник риск. Это позволяет компаниям эффективном управлять процессом безопасной разработки на основе метрик, снижая количество рутинных задач, сохраняя высокие темпы разработки.

— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.

Подробнее на CNews 🖥

#AppSecHub