Представляем релиз AppSec.Hub 2025.1.3

Прокачали интеграции и улучшили функционал — делимся, что нового⬇️

💎 Интеграции

🔹AppSec.Track (модуль OSA) — теперь можно работать с прокси-репозиториями прямо из AppSec.Hub
🔹PT Application Inspector — добавили возможность указывать версию API в панели администратора

💎 Улучшения

🔹Новый дизайн страницы входа
🔹Опция обновления описаний SAST/DAST-уязвимостей
🔹Группировка уязвимостей:
  📌 по источнику
  📌 по типу

Обо всех изменениях читайте на сайте 🖥

🆓 #AppSecHub_релизы

Смотрите запись вебинара "Интеграция статического анализа и DevSecOps: PVS-Studio и AppSec.Hub в действии"

В прямом эфире эксперты из AppSec Solutions и PVS-Studio рассказали, как эффективно устранять уязвимости и ускорить Time-to-Market с помощью интеграции современных инструментов ИБ:

📊 AppSec.Hub — ASPM-платформы для централизованного управления процессом DevSecOps

🖥 PVS-Studio — универсального статического анализатора

Узнайте, как интеграция этих инструментов помогает быстро находить недостатки в коде и ускорить выпуск защищенных приложений.

👉Запись вебинара уже на RUTUBE
🧑‍💻Презентации спикеров

#AppSec_Вебинары

Бесконечный поток кибербезопасности: как российский бизнес внедряет DevSecOps

Более 80% компаний Enterprise-сегмента уделяют внимание вопросам DevSecOps. Чем дольше бизнес занимается выстраиванием безопасной разработки, тем больше он наполняется дополнительными практиками и средствами защиты.

Но что выбрать — гибкость Open Source или стабильность Enterprise? Действительно ли изоляция приложений может гарантировать безопасность всей инфраструктуры?

🎙29 апреля в прямом эфире в формате открытого диалога наш эксперт Юрий Шабалин, владелец продукта Стингрей, в формате открытого диалога с командой К2 Кибербезопасность и приглашенными гостями в области безопасной разработки поделятся инсайтами и практическими рекомендациями, которые помогут эффективно внедрить методологию и инструменты DevSecOps.

В программе митапа:

▶️Барьеры и драйверы при построении процессов DevSecOps
▶️Как изоляция приложений влияет на уровень защищенности
▶️Open Source или Enterprise?
▶️Куда движется рынок DevSecOps

Мероприятие будет полезно ИБ- и ИТ-директорам, директорам по безопасной разработке, системным архитекторам и DevOps-инженерам, а также руководителям служб по безопасной разработке.

🎁Все зарегистрированные участники смогут участвовать в розыгрыше подарков за лучшие вопросы.

➡️Регистрация по ссылке.

Ждем вас на митапе!

⚠️ Абсолютно все популярные сервисы бронирования содержат уязвимости

Эксперты AppSec Solutions проверили ТОП-100 мобильных приложений для путешествий и нашли 1336 уязвимостей. Из них почти 30% относятся к категории «высокий уровень риска», что может привести к утечкам чувствительных данных и навредить пользователям или компании-владельцу.

Часто встречающиеся проблемы:
🔹 Некорректное хранение токенов сторонних сервисов, что может теоретически открыть злоумышленнику доступ к данным с помощью стороннего сервиса. Таких токенов в приложениях для путешествий было найдено более ста.
🔹 Формирование Intent (задачи), то есть объекта, который служит для связи между компонентами мобильного приложения. Данные из сторонних источников могут привести к формированию Intent с вредными элементами, и сделать работу приложения непредсказуемой.

Кроме технических атак, туристы сталкиваются с частыми фишинговыми угрозами, например — рассылками мошеннических приглашений на поддельные сайты бронирования. Отличить такие ресурсы от настоящих можно лишь по незначительным деталям, таким, как доменное имя или сертификат безопасности. Подобные схемы обычно направлены на хищение денег и конфиденциальных данных пользователей.

— пояснил Юрий Шабалин, директор по продукту «Стингрей» компании AppSec Solutions.

💡 Чтобы не стать жертвой таких схем в майские праздники (и не только), проверяйте адрес сайта перед оплатой, не переходите по подозрительным ссылкам, будьте осмотрительными при использовании незащищенных сетей Wi-Fi, особенно в аэропортах, фудкортах, парках и транспорте.

#AppSec_исследование #AppSec_Stingray

7 фич AppSec.Hub, без которых не обойтись в 2025 году

Команда AppSec.Hub продолжает развивать платформу, чтобы вы могли эффективнее управлять безопасностью приложений — от масштабируемости до триажа.

🔥Рассказываем про 7 ключевых функций, которые делают продукт особенно актуальным в 2025 году:

1️⃣ Отказ от Jenkins в роли hub-engine-manager
Платформа теперь самостоятельно управляет очередями и агентами, обеспечивая полный контроль процессов. Это улучшает безопасность, снижает зависимость от внешней инфраструктуры и позволяет гибко масштабировать решение в зависимости от нагрузки.

2️⃣ Интеграция с AppSec.Track OSA
Расширяет функциональные возможности платформы: теперь вы можете централизованно управлять исключениями и поддерживать экосистему с минимальными затратами ресурсов.

3️⃣ Запрос на смену статуса сработки
Новая модель коммуникации между разработчиками и специалистами по безопасности снижает барьеры, помогает в обучении младших коллег и упрощает контроль качества решений, принятых в рамках триажа.

4️⃣ Архивация и удаление уязвимостей
Позволяет сосредоточиться на действительно важных и актуальных рисках. Устранение информационного шума повышает производительность команды.

5️⃣ Автоматическое закрытие и переоткрытие дефектов
Теперь исправления подтверждаются автоматически, а любые несоответствия в статусах сразу привлекают внимание — благодаря этому исключается ручной контроль и минимизируется человеческий фактор.

6️⃣ Правила для групп корреляции
Гибкая логика обработки уязвимостей позволяет настраивать их статусы в зависимости от истории триажа, а также автоматически создавать дефекты по подтвержденным проблемам. Это упрощает процесс принятия решений и структурирует работу команды.

7️⃣ Cloud-ready решение
Платформа масштабируется горизонтально, что особенно важно для распределенных команд и высоконагруженных CI/CD-конвейеров. Высокая производительность сохраняется даже при росте количества сканирований и данных.

#AppSecHub #ASPM #AppSec_FAQ

AppSec Solutions на форуме «Технологии доверенного ИИ 2025»

Как защищать алгоритмы и вписывать ИИ в DevSecOps? Ответят эксперты 20 мая в Москве в кластере «Ломоносов», ИНТЦ МГУ «Воробьёвы горы».

На форуме ТДИИ-2025 соберутся представители Минцифры РФ, ИСП РАН, ФСТЭК и других ключевых структур, чтобы обсудить:

▶️ этичное и безопасное развитие ИИ
▶️ борьбу с дипфейками и генеративными атаками
▶️ внедрение ИИ в госсектор, медицину и образование

Антон Башарин, старший управляющий директор AppSec Solutions, выступит в секции «Атаки на системы ИИ и методы защиты» с докладом «DevSecOps 2.0: Будущее безопасности и разработки в эпоху ИИ».

🗓 14:30–16:10, зал «Молекула»

Эксперт расскажет о типах атак на нейросети, объяснит, как встроить ИИ в DevSecOps-процессы, какие задачи можно автоматизировать, и какие решения уже сейчас помогают анализировать безопасность моделей и защищать их от уязвимостей.

Регистрируйтесь и присоединяйтесь — будет интересно!

#AppSec_Мероприятия

Пиратские приложения для ТВ-приставок могут содержать вредоносный код

Исследование Стингрей показывает: уязвимостей в ТВ-приложениях не меньше, чем в мобильных. Только риски — куда серьезнее.

Пиратские приложения для ТВ-приставок могут содержать зловредный код, который в дальнейшем проникает во всю систему. Особенно уязвимы приставки с root-доступом, которые часто встречаются в Android-устройствах. Их пользователи сильнее подвержены угрозам безопасности по части личных данных и других приложений — особенно, если они были установлены из неофициальных источников.

В каком-либо из установленных приложений может содержаться дополнительный функционал, позволяющий хакерам получить удаленный доступ к устройству и сделать его, например, частью ботнет-сети или заполучить аккаунт официального приложения, к которому привязана банковская карта пользователя.

— поделился Юрий Шабалин, директор по продукту «Стингрей» в интервью РИА Новости.

💡Совет от эксперта: скачивайте приложения только из официальных магазинов. И не отключайте встроенные меры безопасности.

#AppSec_исследование

🐴 Троян в коде: чем опасны AI-агенты

Искусственный интеллект уже стал неотъемлемой частью бизнес-процессов, но вместе с возможностями приходят и риски.

По данным Национального центра искусственного интеллекта при Правительстве России, 43% российских компаний используют искусственный интеллект в своей работе, но только у 36% есть хотя бы минимальные политики безопасности в этой области. Злоумышленники справедливо полагают, что ИИ стал уязвимым местом, и активно этим пользуются.

— отметил Антон Башарин, старший управляющий директор AppSec Solutions.

AI-агентов можно «отравить» данными, перегрузить, использовать для каскадных атак или внедрения бэкдоров. Без политики безопасности и контроля такие инструменты превращаются в идеальную точку входа, становясь своего рода «троянским конем».

💡 Совет от эксперта:

Подход к ИИ должен быть таким же, как к любым цифровым сервисам. Безопасность по умолчанию, инструментальный аудит, регулярная проверка архитектуры. MLSecOps — не мода, а необходимость.

➡️ Подробнее рассказали на CNews.