Just Security

Адрес канала:

Категории: Технологии

Язык: Русский

Количество подписчиков: 1.78K

Описание канала:

Делимся ресерчами и трендами кибербезопасности. Рассказываем про опыт компании Awillix 😼
Делаем премию для этичных хакеров.
Pentest award — https://award.awillix.ru/
По всем вопросам: @popsa_lizaa

▲ Vote (1)

Рейтинги и Отзывы

3.33

3 отзыва

Оценить канал justsecurity и оставить отзыв — могут только зарегестрированные пользователи. Все отзывы проходят модерацию.

5 звезд

4 звезд

3 звезд

2 звезд

1 звезд

Последние сообщения

2022-09-01 14:37:06

Фронтенд часть веб-сервиса совершает запрос к Goolge Maps API, в котором раскрывается API-ключ, что буду делать?

Anonymous Quiz

18%

Ничего, Google API бесплатный

58%

Проверю к каким API сервисам Google подходит данный ключ, некоторые сервисы могут быть платные

Буду использовать этот ключ для своих нужд

15%

Посоветую разработчикам использовать Yandex

66 voters245 views11:37

Открыть/Комментировать

2022-08-31 14:19:19

Наткнулся на фишинговый интернет-магазин, который не только собирает данные, но и распространяет ВПО, твои действия:

Anonymous Quiz

17%

Найду управляющий сервер группировки и поломаю его

49%

Сообщу об инциденте в CERT

14%

Оставлю данные своей карточки для поддержки проекта

20%

Посоветую магазин своим друзьям

81 voters334 views11:19

Открыть/Комментировать

2022-08-29 16:04:52

Регулярный анализ защищенности помогает поддерживать безопасность. Но веб-, мобильные приложения и другие ИТ-продукты компаний не стоят на месте, они развиваются с учетом потребностей бизнеса, появляются новые функции, а значит и новые уязвимости. Уровень защищенности снова скатывается к низкому.

Чтобы исключить слепую зону между проверками существуют продукты, которые помогают поддерживать постоянно высокий уровень защищенности ИТ-инфраструктуры компании. Они автоматизируют действия специалистов и снижают затраты на безопасность.

О технических характеристиках, функциональных особенностях, достоинствах и недостатках таких продуктов, в том числе и нашего СVM, мы написали целый обзор на портале Cyber Media.

293 views13:04

Открыть/Комментировать

2022-08-26 15:25:12

#OFFZONE_2022
⠀
Несколько лет назад на OFFZONE я был модератором-сотрудником Bi.Zone, а вчера выступал на сцене AppSec и отвечал на вопросы из зала :)
⠀
Неизменным остается только высокий уровень организации конференции

426 viewsedited 12:25

Открыть/Комментировать

2022-08-23 10:44:55

25 августа в 16:00 выступаю в AppSec.Zone на Оffzone

Расскажу про SAST Semgrep и его интеграции в CI/CD. Разберем основы написания собственных правил сканирования.

Semgrep стремительно развивается и поддерживает уже более 25 языков программирования, позволяет сканировать код с data flow, IaC, выявлять секреты и недостатки конфигурации.

Приходите послушать и увидеться :)

578 viewsedited 07:44

Открыть/Комментировать

2022-08-12 13:46:34

Следующий эфир будет про инструменты динамического сканирования. Что интереснее всего?

Anonymous Poll

39%

Фаззинг

12%

Несколько сред для разработки

54%

Как внедрить процесс безопасности на каждом этапе разработки

35%

Мониторинги, политики, контроли безопасности на этапе разработки

93 voters814 views10:46

Открыть/Комментировать

2022-08-12 13:42:10

Записи проведенных эфиров) Инджой!

Но все равно приходите на лайв, мы иногда забываем нажать на запись

717 views10:42

Открыть/Комментировать

2022-08-04 15:08:18

Как обещали продолжаем говорить о безопасной разработке в эфирах!

В следующий четверг, 11 августа в 18:00 зовем гостем Юрия Шабалина — ведущего архитектора Swordfish Security, автора канала @mobile_appsec_world и DevSecOps-евангелиста. А компанию составит специалист по безопасной разработке Awillix, эксперт в области внедрения и управления DevSecOps в организациях— Анастасия Худоярова.

Обсудим поиск секретов в коде, поиск уязвимостей и небезопасных конструкций.

До связи :)

Информационный партнер — https://t.me/secmedia

2.4K viewsedited 12:08

Открыть/Комментировать

2022-08-04 14:15:00 Резюме первого эфира с Денисом — с чего начать стартапам и компаниям, которых хотят выстроить процесс безопасной разработки

Вот несколько тезисов:

— Начать стоит с консалтинга, с поиска внешних экспертов, которые смогут оценить текущий уровень зрелости и построить дорожную карту по развитию процессов ИБ.
— Современный разработчик способен писать безопасный код, нужно лишь рассказать о возможных уязвимостях и инструментах, которые могут помочь в написании этого самого безопасного кода.
— Если еще не использовали сканеры кода, зависимостей, IaC, возможно стоит начать сперва с opensource.
— Не забывайте делать поиск секретов в коде, важно искать чувствительные данные не только в текущем коммите, но и по всей истории.
— Если у вас зрелая компания и встроены Security пайплайны, можно посмотреть в сторону фаззинга. Такой подход может помочь обнаружить ошибки в самых неожиданных местах.

Инструменты, которые были упомянуты (+ немного добавил от себя):

SAST:

- SonarQube
- Semgrep (более 20 языков)
- Gosec (Go)
- Bandit (Python)
- Security Code Scan (.NET)
- C++ (Flawfinder)
- JS (Eslint + security plugins)

SCA:

- Dependency track
- Dependency check
- Snyk

Container security:

- Trivy

Поиск секретов

- git-secrets
- Gitleaks
- TruffleHog

DAST:

- OWASP ZAP
- Nuclei
- Arachni

828 views11:15

Открыть/Комментировать

2022-07-29 09:30:00

Как живет ИБ в индустрии финтеха после санкций, ухода всех зарубежных вендоров и средств защиты? Мы не стали предполагать, а просто спросили CISO крупных банков и финтех компаний — Денис Якимова из Альфа Банк, Виктора Булкина из РСХБ-Интех, Дмитрия Стурова из Ренессанс Кредит, Руслана Ложкина из Абсолют Банк и других.

Из материала вы узнаете:

— Какие новые угрозы и новые векторы атак появились в кризис. Как борются с этим банки;
— Что делать с прекращением поддержки ПО и средств защиты;
— Какие изменения случились в работе кибербезопасников в связи с кризисом.

Инджой — https://ib-bank.ru/bisjournal/blog/41

904 views06:30

Открыть/Комментировать