Positive Development Community

2022-11-11 20:25:05 Открыть/Комментировать

2022-11-08 16:45:08 Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить анализ безопасности исходного кода.

• Как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике?

• Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?

• Как на требования к безопасности кода повлияли события 2022 года?

• Как провести проверку безопасности архитектуры и логики разработанного программного обеспечения?

Эти и другие вопросы 9 ноября в 11:00 обсудят эксперты в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.

Зарегистрироваться на бесплатный вебинар можно на сайте.

#PositiveЭксперты Открыть/Комментировать

2022-11-04 19:14:35 Открыть/Комментировать

2022-11-02 15:01:04 В рамках эфира AntiMalware Российский DevSecOps в условиях импортозамещения проводился опрос участников.

Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:

«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.

Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.

Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.

На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка». Открыть/Комментировать

2022-11-02 15:00:58 Открыть/Комментировать

2022-10-31 16:55:01 Код приложения на PHP для проверки SAST-анализатора

Как определить, насколько ваш анализатор хорош?
Как сравнить его с конкурентными решениями на рынке?
Как доказать эффективность, качество алгоритмов и подходов одного SAST-инструмента перед другим?

Для ответа на эти вопросы наша команда подготовила код на языке PHP, спешим поделиться наработками!

Приложение не призвано показать качество покрытия технологий и типов уязвимостей, но должно продемонстрировать логику работы анализатора.

Важно! Это приложение не стоит рассматривать, как замену OWASP Benchmark, а скорее как дополнение, ещё один способ для сравнения.

Код состоит из набора файлов, названия которых соответствуют типам проверок. Внутри есть комментарии, которые помогут понять суть происходящего в коде и ожидаемые результаты.

Будем рады обратной связи, пожеланиям и замечаниям. Открыть/Комментировать

2022-10-28 19:40:56 Открыть/Комментировать

2022-10-28 17:01:27 Компьютерные игры — это обычное программное обеспечение. Однако с защитой в них не все так гладко.
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.

В статье вы узнаете:

Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?

Подробнее читайте в нашем материале Открыть/Комментировать

2022-10-26 15:55:49 Плагины Application Inspector. Новая версия

Спасибо всем, кто пользовался нашими плагинами для Visual Studio Code и IntelliJ Platform и давал обратную связь!

Представляем новую версию 1.2.0.

Что нового:
Возможность сканирования JavaScript и TypeScript кода
Улучшение стабильности работы анализатора
Исправление проблем, возникающих при работе с результатами сканирования
Теперь плагины доступны в маркетах!

JetBrains Marketplace

Visual Studio Code Marketplace
___________
Поменялись метаданные плагина, поэтому если у вас предыдущая версия, нужно её удалить перед установкой версии 1.2.0, чтобы они не задублировались

Будем рады комментариям и обратной связи по новой версии в комментариях Открыть/Комментировать

2022-10-24 14:53:34 По данным нашего исследования, в сравнении с 2021 годом все больше компаний осознает важность внедрения практик безопасной разработки приложений (DevSecOps).

34% компаний уровня enterprise и 31% представителей малого бизнеса уже внедрили DevSecOps. Это предостерегает их от утечки данных или несанкционированного доступа злоумышленников в инфраструктуру организации.

Как эволюционирует процесс DevSecOps в России в условиях импортозамещения?

Какие отечественные средства тестирования, анализа исходного кода и автоматизации существуют на рынке?

Как адаптировать процесс DevSecOps к новым угрозам, исходящим от open source?

Эти и другие вопросы 25 октября в 11:00 эксперты обсудят в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.

Зарегистрироваться на эфир можно по ссылке

#PositiveЭксперты Открыть/Комментировать