AppSec Solutions
@appsecsolutions
412 subscribers
292 photos
18 videos
1 file
131 links
Российская экосистема решений DevSecOps. Обеспечиваем безопасность Ваших приложений, сервисов и цифровых платформ.

🖥️ Наш сайт: appsec.global

📩 Вопросы: [email protected]
Download Telegram
About
Blog
Apps
Platform
Join
AppSec Solutions
412 subscribers
AppSec Solutions
🆓 Топ 5 аналитик AppSec.Hub

AppSec.Hub — это платформа ASPM, которая помогает компаниям управлять процессом безопасной разработки приложений. Она собирает расширенную аналитику по более чем 500 метрикам в области DevSecOps.

👍 Дашборды и метрики распределены по бизнес-ролям в компании, обеспечивая каждому ключевому участнику наглядное представление именно тех метрик, которые для него важны. Это экономит командам безопасности часы, которые раньше уходили на подготовку отчетности.

Рассказываем про ключевые дашборды AppSec.Hub:

1️⃣ Сканирование и покрытие практиками ИБ
Отслеживает, какие приложения подключены к сканированию, частоту проверок, полноту применения практик ИБ и динамику подключений новых проектов.

2️⃣ Время обработки уязвимостей
Отражает эффективность DevSecOps: среднее время триажа, среднее время устранения (MTTR), средний возраст открытых уязвимостей. Позволяет выявлять узкие места и оптимизировать процессы.

3️⃣ Уязвимости по практикам ИБ
Анализирует уязвимости по инструментам и практикам (SAST, SCA, DAST и др.), распределение по приложениям, статусам и уровням критичности. Позволяет видеть целостную картину текущего состояния безопасности: где сосредоточены основные риски, в каких командах или приложениях накапливаются проблемы, и как меняется ситуация со временем.

4️⃣ Технический долг по устранению уязвимостей
Показывает, как меняется технический долг (количество открытых и закрытых дефектов) со временем. Позволяет увидеть, какие уязвимости остаются открытыми, а какие появляются новые, отражая реальную динамику риска, а не только статичные числа.

5️⃣ Уязвимости из OWASP Top 10
Распределение уязвимостей по категориям OWASP и CWE, по приложениям и критичности. Для каждой категории мы даем подробное описание того, какие риски несет уязвимость.

Запросите демо, и мы покажем все дашборды платформы и подробно расскажем про каждый из них.

#AppSecHub
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
6🔥6👍3
183 views
AppSec Solutions
🆙 С пылу с жару! Выпускаем новый релиз — AppSec.Track 4.2.0

Мы уделили большое внимание стабилизации и увеличению скорости работы системы, а также добавили три большие фичи:

▶️ Новый модуль OSA Firewall
▶️ Интерактивный граф зависимостей
▶️ Шаблоны отчетов

🔗 Все подробности в карусели.

Что еще?

▶️ Ускорение
Оптимизировали работу пользовательского интерфейса в разделах "Информация о компоненте", "Состояние системы" и "История сканирований".

▶️ Еще ускорение
Улучшили навигацию по списку версий компонентов на странице "Информация о компоненте".

▶️ Активные ссылки
Добавили возможность перехода в соседние разделы с виджета "Уязвимые компоненты" в дашбордах.

Ждем комментариев!

🖥 Полный список изменений — на сайте.

#AppSecTrack_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥85😎4
191 views
AppSec Solutions
💡 AI-бот на базе Claude атаковал GitHub-репозитории

Автономный бот hackerbot-claw с моделью Claude-Opus-4.5 автоматически ищет уязвимости в GitHub. Он уже просканировал более 47 тысяч проектов и атаковал 6 популярных open-source репозиториев.

Как проходит атака:
— Бот создается PR с «безобидным» изменением.
— Вредоносный код скрывается в метаданных (например, имени ветки).
— В силу настройки автоматических действий CI/CD пайплайна бот получает RCE.
— Дальше происходит раскрытие токенов и развитие атаки.

В ходе атаки (или исследовательской деятельности) были затронуты различные проекты Microsoft, Datadog, CNCF и Trivy.

AI-агенты резко снижают стоимость поиска уязвимостей, а это значит, что атаки на Supply Chain и CI/CD будут происходить чаще и быстрее. При этом агенты комбинируют техники и находят неожиданные места для инъекции зловредных конструкций. Безопасность пайплайнов это критическая часть РБПО, о чем уже не первый год известно благодаря фреймворку SLSA. Отдельно хочется поблагодарить команду Trivy за открытую коммуникацию и расследование проблемы, это важно для всего комьюнити.

— отметил Константин Крючков, PO AppSec.Track.

💡 Что стоит проверить и сделать в пайплайнах:
— отказ от запуска CI для непроверенных MR,
— ограничение права УЗ, используемой пайплайнами,
— валидация входные данные из PR (имена веток, коммиты, метаданные),
— использование изоляции для CI-раннеров.

Продолжаем с интересом следить за происходящей AI-трансформацией и усиленно работаем над безопасностью! 🚀

Подробности про атаку в репозитории Trivy по ссылке.

➡️ О защите цепочки поставок ПО в эпоху ИИ недавно рассказывали наши эксперты — смотрите запись выступления на Rutube.

#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍54👌2
167 views
AppSec Solutions
🔜 Свежий релиз AppSec.Wave 26.1.2

Делимся важными обновлениями нашего SAST-сканера:

▶️ Новая функциональность
Добавили интеграционное API, которое позволяет подключать к системе внешние сервисы.

▶️ Улучшения
— оптимизировали производительность агентов сканирования,
— ускорили формирование отчетов,
— дополнили информацию о CWE в отчетах формата .sarif.

⚙️ Для работы с API необходимо обновить конфигурацию nginx:

1. Открыть файл nginx.conf

2. В секции location /swagger-ui/ заменить значение proxy_pass на proxy_pass https://backend:8095;

3. Если пункты 1 и 2 были сделаны после обновления сканера до версии 26.1.2, выполните команды из папки с docker-compose.yaml:
docker compose down frontend 
docker compose up -d


➡️ Обновляйтесь и пробуйте новые возможности.

#AppSecWave_релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
7🔥4👍2
153 views
AppSec Solutions
📣 В MCP Go SDK нашли уязвимость, позволяющую атаковать ИИ-агентов

ФСТЭК предупредила о критической уязвимости BDU:2026-02402 в библиотеке MCP Go SDK, которая используется для интеграции LLM с внешними источниками данных. Она получила максимальную оценку 10.0 по CVSS.

ℹ️ Ошибка появилась в реализации протокола JSON-RPC, который обеспечивает передачу сообщений между элементами ИИ-системы. Дефект позволяет удаленному злоумышленнику обойти ограничения безопасности и выполнить манипулирование данными с помощью неправильной обработки регистра (CWE-178).

На текущий момент нет публично подтверждённых фактов использования именно MCP Go SDK в конкретных отечественных продуктах. При этом Go активно применяется в банковском секторе, телеком-компаниях, e-commerce, а также в сервисах, связанных с обработкой данных. Организации, которые строят собственные ИИ-решения на базе больших языковых моделей и интегрируют их с корпоративной инфраструктурой через MCP, потенциально могут использовать эту библиотеку или её производные.

— прокомментировал Антон Башарин, старший управляющий директор AppSec Solutions.

Уязвимость может затронуть, например:
— корпоративные ИИ-ассистенты с доступом к внутренним базам данных и сервисам,
— платформы автоматизации бизнес-процессов с ИИ-компонентами,
— DevOps и DevSecOps-инструменты, использующие с ИИ-агентами.

▶️ Исправление уже выпущено — разработчикам рекомендуется обновить MCP Go SDK до версии 1.3.1 или новее.

Подробности и рекомендации экспертов на TAdviser. 🖥

#Экспертиза_AppSec #ИИ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍52🔥2
239 views
AppSec Solutions
Послание для подписчиц 💐

С 8 Марта, милые дамы! Пусть ваша жизнь будет такой же гармоничной, как самая прозрачная IT-система — надежная и защищенная от любых сбоев.

Помните, что вам открыты любые двери — вы умные, талантливые, добрые, смелые и вдохновляющие! Спасибо, что делаете цифровой мир безопаснее и технологичнее. С праздником 💙

#AppSec_Life
Please open Telegram to view this post
VIEW IN TELEGRAM
8🥰3😍2
100 views