#мемнаясреда - это аллегория на аппсеческие реалии💅

А вы уже видели, какое исследование мы выпустили совместно с K2?

Это прям шикос!
Есть много, чего посмотреть и много, о чем потом подискутировать! Скачивайте, читайте и пишите любые вопросы🥰

В принципе, мир давно уже шел в платформизацию (он, кстати, пошел обратно), но как будто последние тренды меня немного пугают..

Что-то давно #мемнаясреда не была в картинках!
Пора вернуть традицию?

Хотите быстрого апгрейда тестирования приложений? Конечно хотите.

Поэтому, смотрите - неусложненные, незамудренные кейсы, как можно использовать любую вашу любимую LLM и наделать на ней тестов для приложений. Кстати, когда мы говорим про тестирование руками и силами QA - ну это же прямо оно!

Создавать пейлоады, инъекции, csrf и тд - в разы проще, чем раньше. Да и еще можно прям адаптированные под вашу приложеньку❤️

Это мне тоже понравилось. Знаешь, что мониторить - знаешь, что собирать!

#мемнаясреда - она всегда про внутреннее спокойствие и уверенность🐥

А смотрите, как прикольно!

Просто представьте, сколько всего полезного нам дает такой плейбук:
- понимание векторов атак: детальное описание методов (например, SQL-инъекции, эксплуатация зеродеев и тд)
- помогает глубже изучить риски, актуальные сейчас
- разработка защитных мер (рекомендации по внедрению WAF, например)
- советы по защите API
- готовые сценарии по для киберучений
И много всего, в общем-то! Забираем❤️

Нет, забыть скинуть клевые материалы я могу.
Но пропустить мемы - что за кощунство!
#мемнаясреда - фундамент

Когда-то идеи для мемов иссякнут. И тогда… мы пойдем по второму кругу😂
Но не эта #мемнаясреда подарит вам дежавю. Не эта…

Нашла тут на просторах интересную статью. Особенно мне нравится дословный перевод NHI - "нечеловеческие идентичности". Интересно, сколько всякого разгребать придется простому человеческому безопаснику после этих самых нечеловеческих идентичностей?

Третий день недели - #мемнаясреда
Как всегда, вдохновляющая

Недавно вступила в полемику с коллегами по цеху. Разошлись во мнениях - надо ли как-то модерировать то, что код сгенерирован? А именно, что разработчик не сам ручками писал, а взял какой-нибудь code assistant подключил (или спросил у deepseek или qwen) и нагло воспользовался.
Я люблю технологии. В данном случае, code assistant все та же технология. Надо ли за использование как-то "наказывать" разработчиков или контролировать это - честно, большой вопрос.

Будет ли сгенерированный код отличаться от общей кодовой базы? Несомненно, да. Он будет схож, только если его практически полностью переписать.
Будет ли он нести дополнительные уязвимости? Да, если использовать нейронку, простите, в тупую.
Будет ли он содержать избыточные и неоптимальные конструкции? Да, как у джуна)

Нужно ли искать такой код и фиксировать его? Мне кажется, что только ради статистики (ну, чтобы глянуть, как меняется количество такого кода время от времени). Его также как и обычный код, нужно сканировать и проверять на все возможные уязвимости, также нужно оптимизировать и оценивать на код-ревью. Вне зависимости от того, кто его создал - искусственный интеллект или, как иногда бывает, натуральная тупость.

Ну а если вам все-таки нужно его найти - то пока ни один инструмент не справится лучше, чем линтеры. ESLint, gosec и прочие, они прям на ура ищут отличающиеся конструкции. Тот же semgrep и codeQL тоже смогут, кстати.

Но я все равно не считаю, что такой код надо отдельно выискивать и работать с ним отдельно. Это все тот же код, только не написанный ручками, а сгенерированный. Ошибки и уязвимости в нем все те же. Поэтому, главное их найти.

А вы что думаете?

Не такой и новый, но такой родной.

На самом деле, до сих пор один из самых хороших опенсорсных тулзов для поиска секретов. Помнится, что он даже отчеты умеет толковые отдавать...

А правда, должен ли инженер уметь еще и в хардварь?
#мемнаясреда поможет найти ответы…

Кстати, помню, спрашивала у вас хотите ли вы видеть тут вакансии. Большая часть была против и я их так и не запустила!

Но! В личку все равно часто приходят, поэтому кидаю тут. У нас есть в компании что-то вроде карьерного хаба - помогаем нашим заказчикам закрывать позиции на различные должности. DevSecOps тоже есть, поэтому если вы в поиске посмотрите. Контакты обычно есть, но если привычнее и роднее пишите мне, найду куда вас отправить💅

И снова #мемнаясреда!

Вторую неделю как-то запаздывает…

Любые мероприятия по безопасности приложений стороной обходить нельзя никак! И вот одно из них:)

Ребята уже в третий раз проводят AppSec Fest в солнечном и теплом Алматы! Уже открыто CFP и туда точно стоит подать свой доклад - я, например, подалась.

Точно "зайдут" темы безопасной разработки, автоматизации, компетенций и вообще, просто классных вещей про качественный девелопмент!

Если вам есть, чем поделиться - нужно делиться🫰

Open Source Security Foundation (OpenSSF) выпустила новый документ — Security Baseline for Open Source Projects. Это поможет разработчикам и компаниям (или должно помочь) хоть как-то повысить безопасность своего опенсорса, минимизировать риски и вот это вот все!

Чего ребята туда добавили?
- Рекомендации по управлению уязвимостями
- Советы по настройке CI/CD
- Практики и инструменты для безопасного управления зависимостями (OSA/SCA)

И снова смартконтракты, опять обратите внимание на лабы по Solidity, кажись они там самые хорошечные.

#мемнаясреда - самый солнечный день!

Извините, но это вообще что такое??? Это 32-часовой курс по безопасности смарт-контрактов и в частности Solidity!

роскошество, не меньше💅

А если честно, учитывая актуальный ландшафт угроз на смарты, я вам тут периодически буду подкидывать то, что приглянется.

#мемнаясреда - как солнечный лучик посреди холодной пасмурной погоды 💛

Кстати, новый juice shop, обновленный уже в 2025 (UPD в 2024)!

Все же помнят, что это прям тренировочный мастхэв в команде разрабов?

Ой, и снова давайте будем учиться!

На этот раз я вам приготовила немного по облачной безопасности. Хорошечно оформленный AWS, забираем:

Grimoire - генерит датасеты из логов

Leonidas by F-Secure - Automated Attack Simulation in the Cloud, complete with detection use cases.

Pacu by Rhino Security Labs - лабораторная, заранее уязвимая версия, ищем вулны, тренируемся

CloudGoat by Rhino Security Labs - заранее уязвимая версия, все по аналогии с тем, что выше

Amazon GuardDuty Tester - скрипт для генерации обнаружений GuardDuty

AWS CloudSaga - AWS CloudSaga - симулятор внештатных ситуаций на AWS

Atomic Red Team - удобные тесты для обнаружения атак, можно не только для облака

DeRF - Detection Replay Framework, в формате "AttacksAAS"

AWS-Attack by Blackbot Security - матрица с маппингом на MITRE

#мемнаясреда - это все же для радости, а не для работы.
Отвлекитесь😏

А вот и пример из плейбука - сценарий/задача/запросы пользователя.

плейбук с просторов интернета - смотрите и оценивайте. Имхо, там полезного не много, но мне прям зашло вот что: каждое действие платформы и/или инструменты описать сценарием через необходимость. То есть, определить на каждом шаге с чем стакивается пользователь и выявить критичные "утечки" трудовых ресурсов на нетрудовые задачи. Найти чего автоматизировать и т.д. Звучит, как крайне легкая задачка - но попробуйте создать такие сценарии на секьюрные проверки и картинка сложится неожиданно😉

Ну и сама дока, вдруг почитать охота станет.

А я не забыла!
Сегодня #мемнаясреда из мемов, старых и забытых, но таких родных…

Обнаружила, что не показывала вам отчет по безопасности AI.

Кстати, на фоне все растущего интереса (иногда нездорового) к искуственному интеллекту, обращать внимание на его безопасность - это уже не выбор и опция, а блин обязанность любой компании. Пока большая часть исследований выглядит сумбурными, но куски полезной информации вытаскивать можно (прикольно про обучение юных хакерят с помощью ИИ и циферки:
• 60% компаний из Fortune 500 сталкивались с ИИ-атаками в 2023.
• 3 часа — среднее время, за которое ИИ-боты взламывают слабо защищенные API.
• $10 млрд — прогнозируемый ущерб от deepfake-мошенничества к 2025 (по данным отчета).

В общем, есть что полистать и что потом использовать в работе.

Любая среда - #мемнаясреда.

Кстати, фильм из мема про настолки - крайне годный, рекомендую!