AppSec Journey
Kanalga Telegram’da o‘tish
👾 Дневники кибербеза. Ключевые темы: application security, devsecops, подходы к анализу приложений и что-нибудь еще. На некоммерческой основе. by @gazizovasg
Ko'proq ko'rsatish3 383
Obunachilar
+224 soatlar
+77 kunlar
+2730 kunlar
Postlar arxiv
3 383
Я, знаете ли, очень люблю как на аембите разбирают всяческие штуки по AISec. Кмк, это все еще один из самых кайфовых ресурсов, которые удобно читать ребятам из аппсек/девсек. Достаточная глубина погружения и всё такое:))
Пока что давайте вот это посмотрим. Они еще в феврале запубличили небольшой стартерпак, как защищать агентные среды - мне понравилось. Никакой дичи вроде невозможного тут ZT, никакой идеальной защиты, только обычные примеры контроля, которые можно прям на коленке реализовать: проверяем вызовы, ограничиваем права и тд. Почти все можно сделать сразу на этапе архитектуры. Однозначно, лайк пацаны, спасибо💅
3 383
Чем дальше в лес, тем больше... агентов.
Понравилась мне вот такая подборка. Теперь у нас/них реестр реальных инцидентов, в которых AI-агенты натворили делоу - сливали данные, выполняли несанкционированные действия и даже становились жертвами prompt injection.
Полистайте инциденты - там добрая половина из-за избыточных прав агенту, отсутствия ограничений на инструменты, отсутствие аудита и даже непродуманный механизм экстренного ресета.
TLDR, почитайте - нам теперь еще и агентов защищать🤖
3 383
Repost from К2 Кибербезопасность
ИИ в ИБ: чит-код или ловушка❓
Новый выпуск техно-дискуссий К2 Кибербезопасность — про Gen AI, промпт-инъекции и риски в работе с нейросетями.
В эфире Deep Patch обсудим:
✅ какие уязвимости есть у ИИ-моделей и как снижать риски на практике
✅ где ИИ стал инструментом, без которого уже никуда
✅ как внедрять ИИ в процессы без боли
В выпуске: 🎙 Александр Лысенко, ведущий эксперт по безопасности разработки и ИИ К2 Кибербезопасность 🎙 Светлана Газизова, AppSec-идеолог и автор канала AppSecJourney 🎙 Ведущая — Анна Старшинова, ведущий менеджер по развитию практики защиты данных и приложений К2 Кибербезопасность.Когда: 18 июня, 19:00 (мск) Регистрируйтесь по ссылке — и подключайтесь к эфиру.
3 383
Итак, нарекаю историю с Miasma самой интересной за второй квартал 2026. Казалось, причем тут девсекопс?
Это вроде и не supply chain, и не безопасность машинки, и вообще как-будто вопрос доверенной среды. Запускались легитимные GitHub Actions и публиковась вредоносные npm-пакеты от имени доверенного издателя. В результате вредоносные релизы получили валидные SLSA provenance attestations)))
Почитайте и подумайте: для какого из DevSecOps/AppSec-инструментов это бы выглядело хреново? Да как будто для всех - норм и все кволити гейты пройдут легко. Не было ни взлома GitHub, ни взлома npm, ни-че-го.
Через несколько дней Miasma добралась до Microsoft. Но это уже совсем другая история.
Вкладываемся теперь не в контроль, а в доверие?😀
3 383
Делала мемы и вспомнила, какие же хорошие были в закромах тут когда-то. Эх, #мемнаясреда - чтобы обновить память ♥️
3 383
Помните, недавно отгремела новость про Github и лютый supply chain, так вот, в 20-х числах мая у нас новый пипец.
Была ну прям категорически масштабная атака на цепочку поставок нацеленная на популярные пакеты сообщества Laravel (Laravel Lang). Атака бахнула более 700 исторических версий этих пакетов. Вместо публикации новых версий хакер переписал (force push) существующие теги версий в гите, чтобы они указывали на вредоносные коммиты. И получилось, что любой пользователь, выполнявший команду composer update или устанавливавший пакеты с нуля в период с 22 по 23 мая 2026 года, мог загрузить зараженный код...
Кто-то говорит, что токен утек из-за той самой утечки на Github, но пока точно никто не знамши. В целом, как будто мы еще не то, что не готовы к AIBom и специальным SCA для моделей, у нас тут, извините, аппсек не стоит достойно. Вообще, история супер показательная, почему надо использовать периоды охлаждения, внутренние репы и т.д...
P.S. Почитайте разборы на разных площадках, очень занимательно
3 383
Помните, как раньше мы все смотрели на подходы/фреймворки/карты и прочее по безе приложений? вот теперь у нас пришло время разгуляться на тему AISec
мне понравилось, как сделал просто паренек из линкедина, разложил на 12 доменов блоки, которые можно поизучать и сделать у себя
тихо, неспеша...
понятное дело, что это все бы расписать еще по-человечески, но как быстрый взгляд на идеи, почему бы и нет?
3 383
Срочный киберсбор!
Мои большие товарищи ищут себе классного аппсека! Компания занимается защитой веба и апи.
Требуется сеньорный AppSec Engineer с долей функций DevSecOps - человек, который не просто будет находить уязвимости, а выстроит безопасность как часть разработки и архитектуры продукта.
Будет надо делать:
- анализ защищенности приложений и сервисов
- threat modeling
- архитектурное ревью безопасности
- развитие Secure SDLC / DevSecOps
- внедрение security-практик в CI/CD
- взаимодействие с командами разработки, DevOps и продуктом
Если интересно - пишите в личку @Anna6Led, можете указать что из этого канала, можете не указывать:)
Можете даже мне написать, я сконнекчу
3 383
Совсем скоро, 15 мая в Алматы, увидимся с вами на очередном AppSecFest!
Расскажу про то, как изменилась разработка с появлением копайлотов, но с точки зрения безопасности. Вообще, будет много клевых докладов, так что, если вы в это время в Алматы - точно надо приходить!
3 383
+2
А знаете ли вы, что #мемнаясреда выходит уже почти 3 года! ТРИ ГОДА!
Представляете, сколько мы с вами прошли?❤️
3 383
Если бы мне каждый раз давали доллар при упоминании Клода...🤑
Вот вам плагины для него - которые и посканировать, и контекст посмотреть, и загрузку оптимизировать. Можно прям надолго залипнуть - и для облачков есть, и для regret threat modeling😘
