Друзья, сегодня в 17:00 на Демо-дне Dev Platform от VK Cloud состоится доклад о том, как объединить безопасную разработку и ускоренный Time-to-Market.
#AppSec_мероприятия

Тема доклада: "Возможности DevSecOps для оптимизации затрат и процессов разработки"

Спикеры:
Антон Башарин, Старший управляющий директор AppSec Solutions
Антон Миронов, Архитектор внедрения Dev Platform
Александр Гадай, Руководитель практики инженерии DevSecOps Swordfish Security

Что обсудим:
🔗Реальный кейс интеграции Dev Platform и AppSec.Hub.
🔗Как выглядит процесс безопасной разработки "из коробки".
🔗Data Driven подход к управлению безопасностью ПО
🔗Стратегия создания DevSecOps: три шага к успеху

⚠️ Хакеры атакуют домашние роутеры через Wi-Fi

В сентябре 2024 года в Wi-Fi-роутерах известных брендов была выявлена уязвимость, которая позволяет кибермошенникам получать доступ к частным сетям и похищать трафик, включая личные данные пользователей. 🔒

Проблема затрагивает Wi-Fi чипы MediaTek (например, модели MT7622 и MT7915) и некоторые драйверы SoftAP. Уязвимость особо опасна тем, что с ее помощью хакер может удаленно выполнить произвольный код на устройстве без какого-либо действия со стороны пользователя.

Юрий Шабалин, владелец продукта Стингрей, прокомментировал ситуацию для «Известий» и в эфире телеканала Москва 24. Он пояснил, что проблема заключается в ошибке out-of-bounds write (выход за пределы допустимых значений при записи данных), которая возникает в службе, управляющей беспроводными интерфейсами.

🚨Атаке подверглись устройства таких известных брендов, как Xiaomi, Ubiquiti и Netgear.

Как обнаружили эту уязвимость и что делать, если роутер оказался заражен?

➡️ в материале Известий
➡️ в эфире телеканала Москва 24

🤩 #AppSec_Stingrey

💙 #Экспертиза_AppSec

🛡Решения AppSec Solutions сертифицированы для работы с VK Cloud ☁️
#Решения_AppSec

Друзья, рады объявить, что подтверждение технологической совместимости дало возможность пользователям частного облака Private Cloud и решения для построения внутренних платформ разработки Dev Platform удобнее и быстрее разворачивать и использовать продукты AppSec.Hub, Стингрей и AppSec.Track от AppSec Solutions.

🕵️‍♂️«Увеличение числа кибератак на государственные организации и бизнес мотивирует разработчиков минимизировать риски еще на стадии написания кода. Мы в VK Tech прикладываем большие усилия, чтобы разработка с использованием нашей облачной платформы VK Cloud стала максимально безопасной. Сертификация решений AppSec Solutions позволит нашим клиентам лучше соответствовать всем отраслевым и нормативным требованиям. В свою очередь, для наших партнеров это позволит сократить сроки развертывания продуктов на облачной платформе и стоимость интеграции», — комментирует директор по продукту VK Cloud и бизнес-лидер сегмента SaaS, VK Tech Дмитрий Лазаренко.

📈«В России растёт рынок облачных платформ, а мы видим большой интерес бизнеса к решениям DevSecOps. По данным ЦСР совокупный среднегодовой темп прироста объема российского рынка безопасной разработки может достигать 37,5%. Сертификация наших решений с платформой разработки Dev Platform и частным облаком Private Cloud даст возможность клиентам облака легко и быстро интегрировать их в процессы разработки на облачной платформе. А применение исключительно российского ПО 🇷🇺 крайне важно в условиях как санкционного давления, так и растущей изобретательности хакеров», — рассказал старший управляющий директор AppSec Solutions Антон Башарин.

Подробнее

Эксперты Стингрей рассказали о краже личных данных при помощи приложений на смартфонах в эфире «Москва 24» 🖥
#AppSec_Stingrey #Экспертиза_AppSec

В мире мобильных приложений вопрос безопасности стоит как никогда остро: сегодня каждое четвертое приложение на Android содержит уязвимости. Согласно недавнему исследованию Стингрей, 21% отечественных приложений используют небезопасную навигацию в приложении. Речь идет об уязвимости в библиотеке Android Jetpack Navigation, позволяющей обходить защиту и получать доступ к внутренним экранам приложений. При эксплуатации этой уязвимости злоумышленник сможет открыть любой экран приложения и похитить личные данные пользователя.

«Уязвимость в библиотеке Android Jetpack Navigation затронула огромное количество приложений, которыми мы все пользуемся ежедневно. И хотя в новых релизах библиотеки уязвимость исправлена, остается проблема с ее доставкой до конечного пользователя, ведь далеко не все обновляют свои приложения до последней версии.»

– поделился Никита Пинаев, руководитель отдела анализа защищенности Стингрей

По словам экспертов, самостоятельно определить наличие уязвимостей в приложении обычным пользователям не под силу. Раньше можно было ориентироваться на рейтинг, отзывы или количество установок. Но из-за удаления многих российских приложений из зарубежных магазинов людям всё чаще приходится загружать их по ссылкам из СМС или пуш-уведомлений. Это создает риски, связанные с социальной инженерией, которую активно используют злоумышленники.

«Нет безопасных систем, есть недостаточно исследованные. Высокотехнологичные функции приложений делают нашу жизнь более удобной, но вместе с этим снижают безопасность. В 2024 году мы наблюдали 3 масштабные атаки на мобильные приложения и прогнозируем, что в будущем откроется еще много новых уязвимостей.»

– отметил Юрий Шабалин, владелец продукта Стингрей.

Даже небольшие проблемы, такие как быстрая разрядка батареи или перегрев устройства, могут указывать на наличие уязвимостей. Команда Стингрей рекомендуют пользователям внимательно оценивать репутацию разработчика и источник загрузки приложения, а также установить антивирусную программу, которая может помочь обнаружить базовые проблемы безопасности.

🔗 AppSec.Hub теперь интегрирован с AppSec.Code!
#AppSecCode #SCM #Git

Рады сообщить, что платформа AppSec.Hub успешно интегрировалась в безопасную среду разработки AppSec.Code! Теперь у российских компаний есть замена зарубежным Git-платформам, что помогает соблюдать требования импортозамещения 🇷🇺 и решает проблему нехватки ИБ-специалистов.

С помощью интеграции инженерам достаточно одной кнопки 🖱 для запуска сканирования уязвимостей, что значительно ускоряет процесс и избавляет от необходимости взаимодействовать с кодом.

AppSec.Code — это надежная среда разработки с функциями безопасности, ставшая аналогом зарубежных решений, которые больше недоступны. Важно отметить, что с учетом указа Президента, использование иностранного ПО в информационной безопасности запрещено.

Теперь ваши специалисты могут сосредоточиться на более сложных задачах, оставив проверку уязвимостей платформе AppSec.Hub! Подробнее по ссылке

🎄✨ С Новым 2025 годом! ✨🎄

Дорогие друзья!

Поздравляем вас с наступающим 2025 годом! Пусть этот год принесет вам и вашим близким здоровье, удачу и радость.

🚀 Пусть 2025 год станет временем новых возможностей и больших достижений!

🛡Мы, команда AppSec Solutions, будем рядом, чтобы ваши цифровые решения оставались под надежной защитой. Спасибо за ваше доверие и сотрудничество!

📌 Обращаем ваше внимание, что во время новогодних каникул наша техническая поддержка будет работать на принятие входящих обращений. Ответы и отработка запросов начнутся с 9 января.

С наилучшими пожеланиями,
Ваша команда AppSec Solutions 🌟

#НовогоднийРежим

Число уязвимостей в открытом программном коде в 2024 году выросло на 25%

Эксперты AppSec Solutions, в ходе изучения динамики роста уязвимостей открытого кода (Open Source Software) обнаружили заметное ускорение этого процесса в 2024 году. Если с 2021 по 2023 год уязвимостей такого рода становилось больше в среднем на 5 тыс. ежегодно, то за последний год наблюдается двукратный рост, и их число выросло более чем на 10 тыс. с 29 тыс. в 2023 году до 39 тыс. в 2024. 🛡

Степень таких угроз сложно переоценить, так как доля заимствованного Open Source кода в коммерческих программных продуктах может доходить до 90%.

📌 Злоумышленники активно используют различные техники для повышения рейтинга своих программных компонентов в репозиториях открытого ПО. Так, например, программный пакет, содержащий зловредный код, может выглядеть как созданный крупной компанией с хорошей репутацией, но не являться таковым на самом деле. При этом хакеры могут атаковать и авторов пакетов, вносить изменения от их имени, а также маскироваться под активных участников OSS (Open Source Software) комьюнити, делая полезные правки, лишь изредка содержащие встроенный вредоносный код.

Читайте как защитить ПО от попадания зловредного кода по ссылке

#Экспертиза_AppSec