Сегодня скорость разработки ПО критически важна: большинство компаний работает в условиях непрерывной интеграции и DevOps, а популяризация ИИ-кода (вайб-кодинг) ускоряет процесс создания программ в разы. При этом безопасность не должна страдать.
Читайте статью в BIS Journal
#Экспертиза_AppSec #SAST
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4💯1
Проверим, насколько ваши ИИ-модели защищены?
🔼 Отметьте (мысленно или скриншотом) пункты, которые уже внедрены в ваших проектах.
Сколько совпадений насчитали?
⚠️ 0–3: ваша ИИ-модель пока уязвима, пора внедрять процессы безопасности.
👌 3–6: неплохо, но есть точки для улучшения.
🏆 6–9: вы на шаг впереди злоумышленников, защита ИИ на высоком уровне.
А быть уверенным на 100% поможет умный сканер AppSec.GenAI: быстро проверяйте ИИ‑модели на уязвимости, промпт‑инъекции, отравление данных и утечки.
#AISecurity
Сколько совпадений насчитали?
А быть уверенным на 100% поможет умный сканер AppSec.GenAI: быстро проверяйте ИИ‑модели на уязвимости, промпт‑инъекции, отравление данных и утечки.
#AISecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2😍2
20 февраля на международном форуме «Территория безопасности» Константин Крючков, руководитель продукта AppSec.Track, и Михаил Черешнев, исследователь AI Security, рассказали про защиту цепочки поставок ПО в эпоху ИИ.
Главное:
ИИ переписал правила игры: создать прототип приложения можно за считанные часы, а злоумышленники получили новые возможности для автоматизации атак и разработки вредоносного ПО. Модели ИИ — это полноценные артефакты разработки, как код или сторонние компоненты, которые активно внедряются в продукты. Без прозрачности и контроля невозможно гарантировать, что такие модели заслуживают доверия и безопасны для использования.
— отметил Константин Крючков.
#AppSec_Мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤3👏2
AppSec.Hub — это платформа ASPM, которая помогает компаниям управлять процессом безопасной разработки приложений. Она собирает расширенную аналитику по более чем 500 метрикам в области DevSecOps.
Рассказываем про ключевые дашборды AppSec.Hub:
Отслеживает, какие приложения подключены к сканированию, частоту проверок, полноту применения практик ИБ и динамику подключений новых проектов.
Отражает эффективность DevSecOps: среднее время триажа, среднее время устранения (MTTR), средний возраст открытых уязвимостей. Позволяет выявлять узкие места и оптимизировать процессы.
Анализирует уязвимости по инструментам и практикам (SAST, SCA, DAST и др.), распределение по приложениям, статусам и уровням критичности. Позволяет видеть целостную картину текущего состояния безопасности: где сосредоточены основные риски, в каких командах или приложениях накапливаются проблемы, и как меняется ситуация со временем.
Показывает, как меняется технический долг (количество открытых и закрытых дефектов) со временем. Позволяет увидеть, какие уязвимости остаются открытыми, а какие появляются новые, отражая реальную динамику риска, а не только статичные числа.
Распределение уязвимостей по категориям OWASP и CWE, по приложениям и критичности. Для каждой категории мы даем подробное описание того, какие риски несет уязвимость.
Запросите демо, и мы покажем все дашборды платформы и подробно расскажем про каждый из них.
#AppSecHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥6👍3
Мы уделили большое внимание стабилизации и увеличению скорости работы системы, а также добавили три большие фичи:
Что еще?
Оптимизировали работу пользовательского интерфейса в разделах "Информация о компоненте", "Состояние системы" и "История сканирований".
Улучшили навигацию по списку версий компонентов на странице "Информация о компоненте".
Добавили возможность перехода в соседние разделы с виджета "Уязвимые компоненты" в дашбордах.
Ждем комментариев!
#AppSecTrack_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5😎4
Автономный бот hackerbot-claw с моделью Claude-Opus-4.5 автоматически ищет уязвимости в GitHub. Он уже просканировал более 47 тысяч проектов и атаковал 6 популярных open-source репозиториев.
Как проходит атака:
— Бот создается PR с «безобидным» изменением.
— Вредоносный код скрывается в метаданных (например, имени ветки).
— В силу настройки автоматических действий CI/CD пайплайна бот получает RCE.
— Дальше происходит раскрытие токенов и развитие атаки.
В ходе атаки (или исследовательской деятельности) были затронуты различные проекты Microsoft, Datadog, CNCF и Trivy.
AI-агенты резко снижают стоимость поиска уязвимостей, а это значит, что атаки на Supply Chain и CI/CD будут происходить чаще и быстрее. При этом агенты комбинируют техники и находят неожиданные места для инъекции зловредных конструкций. Безопасность пайплайнов это критическая часть РБПО, о чем уже не первый год известно благодаря фреймворку SLSA. Отдельно хочется поблагодарить команду Trivy за открытую коммуникацию и расследование проблемы, это важно для всего комьюнити.
— отметил Константин Крючков, PO AppSec.Track.
— отказ от запуска CI для непроверенных MR,
— ограничение права УЗ, используемой пайплайнами,
— валидация входные данные из PR (имена веток, коммиты, метаданные),
— использование изоляции для CI-раннеров.
Продолжаем с интересом следить за происходящей AI-трансформацией и усиленно работаем над безопасностью!
Подробности про атаку в репозитории Trivy по ссылке.
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍5⚡4👌2
Делимся важными обновлениями нашего SAST-сканера:
Добавили интеграционное API, которое позволяет подключать к системе внешние сервисы.
— оптимизировали производительность агентов сканирования,
— ускорили формирование отчетов,
— дополнили информацию о CWE в отчетах формата .sarif.
1. Открыть файл nginx.conf
2. В секции location /swagger-ui/ заменить значение proxy_pass на proxy_pass https://backend:8095;
3. Если пункты 1 и 2 были сделаны после обновления сканера до версии 26.1.2, выполните команды из папки с docker-compose.yaml:
docker compose down frontend
docker compose up -d
#AppSecWave_релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥4👍2
ФСТЭК предупредила о критической уязвимости BDU:2026-02402 в библиотеке MCP Go SDK, которая используется для интеграции LLM с внешними источниками данных. Она получила максимальную оценку 10.0 по CVSS.
На текущий момент нет публично подтверждённых фактов использования именно MCP Go SDK в конкретных отечественных продуктах. При этом Go активно применяется в банковском секторе, телеком-компаниях, e-commerce, а также в сервисах, связанных с обработкой данных. Организации, которые строят собственные ИИ-решения на базе больших языковых моделей и интегрируют их с корпоративной инфраструктурой через MCP, потенциально могут использовать эту библиотеку или её производные.
— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.
Уязвимость может затронуть, например:
— корпоративные ИИ-ассистенты с доступом к внутренним базам данных и сервисам,
— платформы автоматизации бизнес-процессов с ИИ-компонентами,
— DevOps и DevSecOps-инструменты, использующие с ИИ-агентами.
Подробности и рекомендации экспертов на TAdviser.
#Экспертиза_AppSec #ИИ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤2🔥2
Послание для подписчиц 💐
С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.
Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником💙
#AppSec_Life
С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.
Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником
#AppSec_Life
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🥰3😍2