AppSec Journey

Итак, нарекаю историю с Miasma самой интересной за второй квартал 2026. Казалось, причем тут девсекопс? Это вроде и не supply chain, и не безопасность машинки, и вообще как-будто вопрос доверенной среды. Запускались легитимные GitHub Actions и публиковась вредоносные npm-пакеты от имени доверенного издателя. В результате вредоносные релизы получили валидные SLSA provenance attestations))) Почитайте и подумайте: для какого из DevSecOps/AppSec-инструментов это бы выглядело хреново? Да как будто для всех - норм и все кволити гейты пройдут легко. Не было ни взлома GitHub, ни взлома npm, ни-че-го. Через несколько дней Miasma добралась до Microsoft. Но это уже совсем другая история. Вкладываемся теперь не в контроль, а в доверие?😀

Делала мемы и вспомнила, какие же хорошие были в закромах тут когда-то. Эх, #мемнаясреда - чтобы обновить память ♥️

Юмористическая минутка - по расписанию! #мемнаясреда 💖

Помните, недавно отгремела новость про Github и лютый supply chain, так вот, в 20-х числах мая у нас новый пипец. Была ну прям категорически масштабная атака на цепочку поставок нацеленная на популярные пакеты сообщества Laravel (Laravel Lang). Атака бахнула более 700 исторических версий этих пакетов. Вместо публикации новых версий хакер переписал (force push) существующие теги версий в гите, чтобы они указывали на вредоносные коммиты. И получилось, что любой пользователь, выполнявший команду composer update или устанавливавший пакеты с нуля в период с 22 по 23 мая 2026 года, мог загрузить зараженный код... Кто-то говорит, что токен утек из-за той самой утечки на Github, но пока точно никто не знамши. В целом, как будто мы еще не то, что не готовы к AIBom и специальным SCA для моделей, у нас тут, извините, аппсек не стоит достойно. Вообще, история супер показательная, почему надо использовать периоды охлаждения, внутренние репы и т.д... P.S. Почитайте разборы на разных площадках, очень занимательно

Помните, как раньше мы все смотрели на подходы/фреймворки/карты и прочее по безе приложений? вот теперь у нас пришло время разгуляться на тему AISec мне понравилось, как сделал просто паренек из линкедина, разложил на 12 доменов блоки, которые можно поизучать и сделать у себя тихо, неспеша... понятное дело, что это все бы расписать еще по-человечески, но как быстрый взгляд на идеи, почему бы и нет?

Нишевая #мемнаясреда… Или как-то у зумеров заведено?

Срочный киберсбор! Мои большие товарищи ищут себе классного аппсека! Компания занимается защитой веба и апи. Требуется сеньорный AppSec Engineer с долей функций DevSecOps - человек, который не просто будет находить уязвимости, а выстроит безопасность как часть разработки и архитектуры продукта. Будет надо делать: - анализ защищенности приложений и сервисов - threat modeling - архитектурное ревью безопасности - развитие Secure SDLC / DevSecOps - внедрение security-практик в CI/CD - взаимодействие с командами разработки, DevOps и продуктом Если интересно - пишите в личку @Anna6Led, можете указать что из этого канала, можете не указывать:) Можете даже мне написать, я сконнекчу

#мемнаясреда… о наболевшем💔

Важный день! #мемнаясреда всегда вовремя

Совсем скоро, 15 мая в Алматы, увидимся с вами на очередном AppSecFest! Расскажу про то, как изменилась разработка с появлением копайлотов, но с точки зрения безопасности. Вообще, будет много клевых докладов, так что, если вы в это время в Алматы - точно надо приходить!

А знаете ли вы, что #мемнаясреда выходит уже почти 3 года! ТРИ ГОДА! Представляете, сколько мы с вами прошли?❤️

Если бы мне каждый раз давали доллар при упоминании Клода...🤑 Вот вам плагины для него - которые и посканировать, и контекст посмотреть, и загрузку оптимизировать. Можно прям надолго залипнуть - и для облачков есть, и для regret threat modeling😘

#мемнаясреда - забыть нельзя выложить!

Доброе утречко! #мемнаясреда как обычно, в самое сердечко💖

Во-первых, добротно сделанный ресурс для разбора актуальных атак, а во-вторых разбор нового кейса про axios и npm-помойку пакеты. Залипла🥰

#мемнаясреда - только вроде неделя началась, а уже и пора!

Ух, помните, был взрывной рост разных плагинчиков для ide - и в части безопасности, и кодстайла, и вообще просто потому что зашквар, если ты ими не пользуешься. Вот она и наступила, эволюция плагинов! Они теперь для копайлотов, причем также - всех форм и расцветок. Фул набор, как говорится!

#мемнаясреда, мой любимый день!

#мемнаясреда мой любимый день

#мемнаясреда, родимая