ar
Feedback
AppSec Journey

AppSec Journey

الذهاب إلى القناة على Telegram

👾 Дневники кибербеза. Ключевые темы: application security, devsecops, подходы к анализу приложений и что-нибудь еще. На некоммерческой основе. by @gazizovasg

إظهار المزيد
3 383
المشتركون
+224 ساعات
+77 أيام
+2730 أيام
أرشيف المشاركات
#мемнаясреда - лучший праздник!
+2
#мемнаясреда - лучший праздник!

Я, знаете ли, очень люблю как на аембите разбирают всяческие штуки по AISec. Кмк, это все еще один из самых кайфовых ресурсов, которые удобно читать ребятам из аппсек/девсек. Достаточная глубина погружения и всё такое:)) Пока что давайте вот это посмотрим. Они еще в феврале запубличили небольшой стартерпак, как защищать агентные среды - мне понравилось. Никакой дичи вроде невозможного тут ZT, никакой идеальной защиты, только обычные примеры контроля, которые можно прям на коленке реализовать: проверяем вызовы, ограничиваем права и тд. Почти все можно сделать сразу на этапе архитектуры. Однозначно, лайк пацаны, спасибо💅

Приятная среда - это когда #мемнаясреда🤌
+2
Приятная среда - это когда #мемнаясреда🤌

Чем дальше в лес, тем больше... агентов. Понравилась мне вот такая подборка. Теперь у нас/них реестр реальных инцидентов, в которых AI-агенты натворили делоу - сливали данные, выполняли несанкционированные действия и даже становились жертвами prompt injection. Полистайте инциденты - там добрая половина из-за избыточных прав агенту, отсутствия ограничений на инструменты, отсутствие аудита и даже непродуманный механизм экстренного ресета. TLDR, почитайте - нам теперь еще и агентов защищать🤖

Всегда #мемнаясреда✨
+2
Всегда #мемнаясреда✨

Доброго полудня! #мемнаясреда она вне часовых поясов…
+2
Доброго полудня! #мемнаясреда она вне часовых поясов…

ИИ в ИБ: чит-код или ловушка❓ Новый выпуск техно-дискуссий К2 Кибербезопасность — про Gen AI, промпт-инъекции и риски в работ
ИИ в ИБ: чит-код или ловушка❓ Новый выпуск техно-дискуссий К2 Кибербезопасность — про Gen AI, промпт-инъекции и риски в работе с нейросетями. В эфире Deep Patch обсудим: ✅ какие уязвимости есть у ИИ-моделей и как снижать риски на практике ✅ где ИИ стал инструментом, без которого уже никуда ✅ как внедрять ИИ в процессы без боли
В выпуске: 🎙 Александр Лысенко, ведущий эксперт по безопасности разработки и ИИ К2 Кибербезопасность 🎙 Светлана Газизова, AppSec-идеолог и автор канала AppSecJourney 🎙 Ведущая — Анна Старшинова, ведущий менеджер по развитию практики защиты данных и приложений К2 Кибербезопасность.
Когда: 18 июня, 19:00 (мск) Регистрируйтесь по ссылке — и подключайтесь к эфиру.

Сегодня буду всякие (не)полезные штуки тут рассказывать!

Итак, нарекаю историю с Miasma самой интересной за второй квартал 2026. Казалось, причем тут девсекопс? Это вроде и не supply chain, и не безопасность машинки, и вообще как-будто вопрос доверенной среды. Запускались легитимные GitHub Actions и публиковась вредоносные npm-пакеты от имени доверенного издателя. В результате вредоносные релизы получили валидные SLSA provenance attestations))) Почитайте и подумайте: для какого из DevSecOps/AppSec-инструментов это бы выглядело хреново? Да как будто для всех - норм и все кволити гейты пройдут легко. Не было ни взлома GitHub, ни взлома npm, ни-че-го. Через несколько дней Miasma добралась до Microsoft. Но это уже совсем другая история. Вкладываемся теперь не в контроль, а в доверие?😀

+2
Делала мемы и вспомнила, какие же хорошие были в закромах тут когда-то. Эх, #мемнаясреда - чтобы обновить память ♥️

Юмористическая минутка - по расписанию! #мемнаясреда 💖
+2
Юмористическая минутка - по расписанию! #мемнаясреда 💖

Помните, недавно отгремела новость про Github и лютый supply chain, так вот, в 20-х числах мая у нас новый пипец. Была ну прям категорически масштабная атака на цепочку поставок нацеленная на популярные пакеты сообщества Laravel (Laravel Lang). Атака бахнула более 700 исторических версий этих пакетов. Вместо публикации новых версий хакер переписал (force push) существующие теги версий в гите, чтобы они указывали на вредоносные коммиты. И получилось, что любой пользователь, выполнявший команду composer update или устанавливавший пакеты с нуля в период с 22 по 23 мая 2026 года, мог загрузить зараженный код... Кто-то говорит, что токен утек из-за той самой утечки на Github, но пока точно никто не знамши. В целом, как будто мы еще не то, что не готовы к AIBom и специальным SCA для моделей, у нас тут, извините, аппсек не стоит достойно. Вообще, история супер показательная, почему надо использовать периоды охлаждения, внутренние репы и т.д... P.S. Почитайте разборы на разных площадках, очень занимательно

Помните, как раньше мы все смотрели на подходы/фреймворки/карты и прочее по безе приложений? вот теперь у нас пришло время ра
Помните, как раньше мы все смотрели на подходы/фреймворки/карты и прочее по безе приложений? вот теперь у нас пришло время разгуляться на тему AISec мне понравилось, как сделал просто паренек из линкедина, разложил на 12 доменов блоки, которые можно поизучать и сделать у себя тихо, неспеша... понятное дело, что это все бы расписать еще по-человечески, но как быстрый взгляд на идеи, почему бы и нет?

Нишевая #мемнаясреда… Или как-то у зумеров заведено?
+2
Нишевая #мемнаясреда… Или как-то у зумеров заведено?

Срочный киберсбор! Мои большие товарищи ищут себе классного аппсека! Компания занимается защитой веба и апи. Требуется сеньорный AppSec Engineer с долей функций DevSecOps - человек, который не просто будет находить уязвимости, а выстроит безопасность как часть разработки и архитектуры продукта. Будет надо делать: - анализ защищенности приложений и сервисов - threat modeling - архитектурное ревью безопасности - развитие Secure SDLC / DevSecOps - внедрение security-практик в CI/CD - взаимодействие с командами разработки, DevOps и продуктом Если интересно - пишите в личку @Anna6Led, можете указать что из этого канала, можете не указывать:) Можете даже мне написать, я сконнекчу

#мемнаясреда… о наболевшем💔
+2
#мемнаясреда… о наболевшем💔

Важный день! #мемнаясреда всегда вовремя
+2
Важный день! #мемнаясреда всегда вовремя

Совсем скоро, 15 мая в Алматы, увидимся с вами на очередном AppSecFest! Расскажу про то, как изменилась разработка с появлением копайлотов, но с точки зрения безопасности. Вообще, будет много клевых докладов, так что, если вы в это время в Алматы - точно надо приходить!

А знаете ли вы, что #мемнаясреда выходит уже почти 3 года! ТРИ ГОДА! Представляете, сколько мы с вами прошли?❤️
+2
А знаете ли вы, что #мемнаясреда выходит уже почти 3 года! ТРИ ГОДА! Представляете, сколько мы с вами прошли?❤️

Если бы мне каждый раз давали доллар при упоминании Клода...🤑 Вот вам плагины для него - которые и посканировать, и контекст посмотреть, и загрузку оптимизировать. Можно прям надолго залипнуть - и для облачков есть, и для regret threat modeling😘