Такие разные Android AppLinks, WebLinks, DeepLinks. Разбираемся и пытаемся сломать 🔨
#Экспертиза_AppSec #AppSec_Лонгрид
Всем привет! На связи Юрий Шабалин и Веселина Зацепина эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия.
Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.
Цель — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки.
📝Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".
Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить. Ссылка
#Экспертиза_AppSec #AppSec_Лонгрид
Всем привет! На связи Юрий Шабалин и Веселина Зацепина эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия.
Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.
Цель — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки.
📝Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".
Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить. Ссылка
Media is too big
VIEW IN TELEGRAM
Смотрите видео про AppSec.Hub — платформу, которая изменит ваш подход к управлению процессом DevSecOps! 🎬
AppSec.Hub позволяет:
▶️ Автоматизировать процесс проверки безопасности в run-time.
▶️ Легко добавлять и заменять инструменты, команды, приложения и проекты в контур РБПО.
▶️ Решать рутинные задачи ИБ с помощью ИИ.
▶️ Контролировать процесс разработки защищенного ПО на базе метрик.
#AppSecHub #ASPM #AppSec_FAQ
AppSec.Hub позволяет:
#AppSecHub #ASPM #AppSec_FAQ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👏3❤1
Стингрей помогает усилить защищенность приложений Сбербанка 🛡
#AppSec_Stingrey #AppSec_Кейсы
Приложения Сбербанка проходят автоматизированную проверку защищенности при помощи платформы Стингрей. Стингрей — это решение, сочетающее в себе технологии анализа уязвимостей и интуитивно понятный интерфейс. Платформа выявляет уязвимости в iOS и Android-приложениях и предлагает подробные рекомендации по их устранению.
Платформа позволяет проводить автоматизированный комплексный анализ защищенности мобильных продуктов на различных уровнях, включая код приложения, сетевые взаимодействия и конфигурацию. В процессе анализа учитываются как общие угрозы, так и специфические риски, характерные для конкретной отрасли.
В Сбербанке есть приложения для физических и юридических лиц по разным направлениям: от финансовых решений до услуг здравоохранения. Использование платформы Стингрей помогает банку дополнительно усилить как скорость разработки, так и эффективность анализа защищенности.
Юрий Шабалин, директор продукта Стингрей:
После завершения процесса сканирования на платформе Стингрей разработчики получают полный список уязвимостей и детальные рекомендации по их устранению. Одно из ключевых преимуществ технологии — необходимые проверки бесшовно встраиваются в процесс разработки, что не задерживает выход новых версий приложений.
#AppSec_Stingrey #AppSec_Кейсы
Приложения Сбербанка проходят автоматизированную проверку защищенности при помощи платформы Стингрей. Стингрей — это решение, сочетающее в себе технологии анализа уязвимостей и интуитивно понятный интерфейс. Платформа выявляет уязвимости в iOS и Android-приложениях и предлагает подробные рекомендации по их устранению.
Платформа позволяет проводить автоматизированный комплексный анализ защищенности мобильных продуктов на различных уровнях, включая код приложения, сетевые взаимодействия и конфигурацию. В процессе анализа учитываются как общие угрозы, так и специфические риски, характерные для конкретной отрасли.
В Сбербанке есть приложения для физических и юридических лиц по разным направлениям: от финансовых решений до услуг здравоохранения. Использование платформы Стингрей помогает банку дополнительно усилить как скорость разработки, так и эффективность анализа защищенности.
Юрий Шабалин, директор продукта Стингрей:
«Приложениями «Сбера» ежедневно пользуются миллионы россиян и отечественных компаний. Поэтому интеграция платформы Стингрей в процессы разработки «Сбера» — это наш вклад в развитии кибербезопасности всей России. Также подчеркну, что Стингрей — это полностью российская разработка, что гарантирует отсутствие рисков, связанных с использованием иностранных технологий, и соответствует требованиям регуляторов».
После завершения процесса сканирования на платформе Стингрей разработчики получают полный список уязвимостей и детальные рекомендации по их устранению. Одно из ключевых преимуществ технологии — необходимые проверки бесшовно встраиваются в процесс разработки, что не задерживает выход новых версий приложений.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Что же такое Firebase?
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
Сегодня практически каждая мобильная разработка включает в себя использование сторонних сервисов, и Firebase, разработанный компанией Google, стал одним из самых популярных. Этот инструмент предлагает обширный набор функциональности: от аутентификации пользователей до аналитики, уведомлений и базы данных.
Firebase значительно упрощает жизнь разработчикам, позволяя быстро создавать мощные мобильные приложения и сократить время проектирования инфраструктуры. Но, как это часто бывает, удобство несёт и свои риски.
Firebase — это платформа, разработанная Google, которая предлагает набор инструментов для создания мобильных приложений на iOS, Android, Web, Flutter, Unity и C++. Она позволяет разработчикам быстро создавать и развертывать приложения, используя облачные ресурсы, а также предоставляет решения для анализа и оптимизации работы программ.
В новой статье на Хабр Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей затронули очень интересную тему — сервисы Firebase. Поговорили об их применении в мобильных приложениях и о том, как обеспечить их безопасность.
Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.
И, конечно, эксперты ответят на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!
Подробнее по ссылке
#Экспертиза_AppSec #MAST #AppSec_Лонгрид
🔥2
А вот и новый релиз платформы Стингрей версии 2024.12!
#Стингрей_Релизы
Платформа получила новые функции: поиск уязвимостей в Jetpack Compose, поддержку Android TV и улучшение для приложений, написанных на фреймворке Flutter. Также обновлён стандарт OWASP MASVS и ускорены модули анализа.
📌 Подробнее в карточках выше или по ссылке
#Стингрей_Релизы
Платформа получила новые функции: поиск уязвимостей в Jetpack Compose, поддержку Android TV и улучшение для приложений, написанных на фреймворке Flutter. Также обновлён стандарт OWASP MASVS и ускорены модули анализа.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4
Shift Left: красивый отчет или реальность?
#AppSecHub #AppSec_Лонгрид
Сегодня безопасность — это не просто задача финальных этапов разработки. Подход Shift-Left переносит проверки на ранние стадии, помогая командам экономить ресурсы и выпускать более качественные продукты.
Как это работает?🤔
— Безопасность интегрируется в каждую стадию разработки.
— Автоматизация помогает быстро находить и устранять уязвимости.
— Используются такие инструменты, как статический и динамический анализ кода.
Преимущества Shift-Left:
🎱 Раннее выявление проблем экономит время и деньги.
🎱 Снижается риск инцидентов в продакшене.
🎱 Повышается доверие клиентов к продукту.
💬 Как отметил Антон Башарин, директор продукта AppSec.Hub:
Для успешной реализации концепции Shift Left и процессов DevSecOps необходим анализ. В этом помогает дашборд💿 для визуализации метрик безопасной разработки, который позволяет оценить зрелость Shift Left, отображая такие показатели, как среднее время обнаружения уязвимостей и устранения ошибок.
#AppSecHub #AppSec_Лонгрид
Сегодня безопасность — это не просто задача финальных этапов разработки. Подход Shift-Left переносит проверки на ранние стадии, помогая командам экономить ресурсы и выпускать более качественные продукты.
Как это работает?🤔
— Безопасность интегрируется в каждую стадию разработки.
— Автоматизация помогает быстро находить и устранять уязвимости.
— Используются такие инструменты, как статический и динамический анализ кода.
Преимущества Shift-Left:
«Зачем это нужно? Прежде всего для того, чтобы эффективнее обрабатывать уязвимости. Концепция позволяет поддерживать оперативную обратную связь между подразделениями ИБ и разработки и выявлять проблемы на ранних стадиях в отдельных компонентах ПО по мере их завершенности или готовности к интеграции.
В идеале в рамках подхода дыры устраняются сразу, а не гастролируют из сборки в сборку до тех пор, пока время и стоимость их устранения не вырастут до критических значений. Поэтому технический долг не накапливается, проверки, проводимые перед развертыванием, не оказывают негативного влияния на Time-to-Market, а в ПРОД выходят более защищенные продукты».
Для успешной реализации концепции Shift Left и процессов DevSecOps необходим анализ. В этом помогает дашборд
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
Media is too big
VIEW IN TELEGRAM
В гостях у CISOCLUB – наш старший менеджер по работе с партнерами, Кирилл Кизиков. Вместе обсудили ключевые аспекты безопасной разработки, ее значение для бизнеса и роль AppSec Solutions в этой сфере.
— Чем занимается AppSec Solutions и какую ценность мы создаем для рынка (0:13).
— Насколько сегодня востребованы решения для безопасной разработки в России (0:41).
— Какие перспективы открываются для отрасли в ближайшие годы (01:28).
— Основные вызовы компаний на пути к безопасной разработке (02:24).
— Инструменты и подходы, которые помогают эффективно внедрять secure development (04:04).
Смотрите видео выше и делитесь своими мыслями в комментариях. 🚀
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2
Media is too big
VIEW IN TELEGRAM
Обсуждаем с экспертами рынка опыт внедрения DevSecOps-решений и уникальные подходы к безопасной разработке.
Почему стоит смотреть:
• реальные кейсы интеграции инструментов DevSecOps, которые вдохновляют;
• практические советы по оптимизации ИБ-процессов;
• живой диалог, в котором ведущие эксперты отрасли делятся своими успехами, вызовами и инсайтами.
🎙 Ведущий — Антон Башарин, старший управляющий директор AppSec Solutions.
👥 Гостем первого выпуска стал Александр Иванов, заместитель начальника отдела безопасной разработки компании СИГМА.
В этом эпизоде вы узнаете:
🔗 Не пропустите! Смотрите короткое видео выше, а полную версию по ссылке
#ПодкастВнутриDevSecOps #AppSec_Кейсы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍1👏1
Любимый – не значит надежный. Изучили уязвимости основных языков программирования.
#AppSec_исследование #AppSecHub
Мы провели исследование, в ходе которого рассчитали общую и критическую плотность риска для семи основных языков программирования.
Под плотностью риска безопасности (Security Risk Density) подразумевается в данном случае суммарное число неисправленных уязвимостей в программном обеспечении на 1000 значимых строк кода программ, написанных на конкретном языке программирования.
Java, JavaScript и C# оказались на первых трех местах по уровню критичности. Они максимально уязвимы для хакеров, что негативно отражается на общей безопасности написанных на них проектов.
А вот Python, который с октября 2021 г. удерживает титул самого популярного языка программирования в мире, занял предпоследнее место в этом рейтинге. Более безопасны, чем он, оказался Go, он же Golang, созданный Google. К слову, он, очень полюбился хакерам и вирусмейкерам за то, что позволяет надежно прятать вредоносное ПО внутри полностью легитимных программ и тем самым успешно обходить антивирусную защиту.
Как составлялся рейтинг
Основу для подготовленного экспертами AppSec Solutions рейтинга составили обезличенные и анонимизированные данные нескольких компаний из самых разных сфер. Это представители топливно-энергетического комплекса, телеком-компаний, банков, ИТ-индустрии, различных промышленных предприятий и другие.
При помощи инструмента сбора аналитики и контроля уязвимостей AppSec.Hub был проведен анализ около 140 млн строк кода, 8500 элементов ПО (кодовых баз, артефактов сборки, стендов) и 750 тыс. уязвимостей. Все это было исследовано с целью выявления типичных (средних и медианных) значений плотности риска безопасности языков программирования.
Как результат, язык Java может стать отличным подспорьем для современных киберпреступников всех мастей. «Для создания вредоносного кода злоумышленникам проще пользоваться Java за счет большего количества зависимостей при программировании, – сказал директор продукта AppSec.Hub Кирилл Гаранов.
#AppSec_исследование #AppSecHub
Мы провели исследование, в ходе которого рассчитали общую и критическую плотность риска для семи основных языков программирования.
Под плотностью риска безопасности (Security Risk Density) подразумевается в данном случае суммарное число неисправленных уязвимостей в программном обеспечении на 1000 значимых строк кода программ, написанных на конкретном языке программирования.
Java, JavaScript и C# оказались на первых трех местах по уровню критичности. Они максимально уязвимы для хакеров, что негативно отражается на общей безопасности написанных на них проектов.
А вот Python, который с октября 2021 г. удерживает титул самого популярного языка программирования в мире, занял предпоследнее место в этом рейтинге. Более безопасны, чем он, оказался Go, он же Golang, созданный Google. К слову, он, очень полюбился хакерам и вирусмейкерам за то, что позволяет надежно прятать вредоносное ПО внутри полностью легитимных программ и тем самым успешно обходить антивирусную защиту.
Как составлялся рейтинг
Основу для подготовленного экспертами AppSec Solutions рейтинга составили обезличенные и анонимизированные данные нескольких компаний из самых разных сфер. Это представители топливно-энергетического комплекса, телеком-компаний, банков, ИТ-индустрии, различных промышленных предприятий и другие.
При помощи инструмента сбора аналитики и контроля уязвимостей AppSec.Hub был проведен анализ около 140 млн строк кода, 8500 элементов ПО (кодовых баз, артефактов сборки, стендов) и 750 тыс. уязвимостей. Все это было исследовано с целью выявления типичных (средних и медианных) значений плотности риска безопасности языков программирования.
Как результат, язык Java может стать отличным подспорьем для современных киберпреступников всех мастей. «Для создания вредоносного кода злоумышленникам проще пользоваться Java за счет большего количества зависимостей при программировании, – сказал директор продукта AppSec.Hub Кирилл Гаранов.
Представьте себе две компании, в одной из которых трудится 50 человек, а в другой – 500. В какой из них у злоумышленников будет больше возможностей найти «слабое звено»? Примерно таков же принцип работает и с языками программирования. Java и C# доступны во множестве библиотек, где можно найти решения почти под любые задачи и в то же время чрезвычайно популярны у команд разработки.
🔥6👍5
Делимся результатами встречи с УЦСБ на Урале
Команда партнерского отдела AppSec Solutions встретилась с представителями Центра кибербезопасности УЦСБ — одного из ведущих интеграторов DevSecOps-решений в России.
Делимся важными итогами:
▶️ Определили ключевые направления сотрудничества
▶️ Запланировали обучение сотрудников УЦСБ работе с продуктами AppSec Solutions
▶️ Наметили совместные шаги по развитию стратегического партнерства
Евгений Тодошев, руководитель направления безопасной разработки УЦСБ:
#AppSec_Партнерство
Команда партнерского отдела AppSec Solutions встретилась с представителями Центра кибербезопасности УЦСБ — одного из ведущих интеграторов DevSecOps-решений в России.
Делимся важными итогами:
Евгений Тодошев, руководитель направления безопасной разработки УЦСБ:
«Развитие DevSecOps — это не просто тренд, а необходимость для современных компаний. Совместная работа с AppSec Solutions помогает нашим заказчикам внедрять безопасность с самого старта разработки и строить устойчивую экосистему».Владислав Фефелов, директор по работе с партнерами AppSec Solutions:
«УЦСБ демонстрирует, как важно не только предлагать услуги, но и формировать культуру безопасной разработки. Они действительно задают высокий стандарт в регионе, и мы гордимся работать с таким партнером».Если ваша компания нацелена на развитие безопасной разработки, обращайтесь к нашему партнеру УЦСБ — они знают, как эффективно внедрять DevSecOps.
#AppSec_Партнерство
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤5👍4
Топ-5 интересных находок при сканировании мобильных приложений в 2024 году! 📱
1️⃣ Приложения на Flutter
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
2️⃣ Использование сторонних сервисов
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
3️⃣ Уязвимость в Android Jetpack Navigation Library
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
4️⃣ Хранение конфиденциальной информации
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
5️⃣ SQL-инъекции
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.🛡
#Экспертиза_AppSec #MAST
За год мы проанализировали множество приложений, разработанных с использованием фреймворка Flutter. Наша статистика показывает, что 9 из 10 таких приложений имеют хотя бы одну из трех уязвимостей, связанных с локальной аутентификацией:
- Неограниченное количество попыток ввода пин-кода (что ведет к возможности полного перебора).
- Отсутствие реакции на изменения биометрических данных.
- Возможность обхода биометрической аутентификации.
Мы заметили, что многие разработчики неправильно интегрируют сторонние сервисы и ключи доступа. 🔑 Часто во время аудита не проверяют, как именно подключены сторонние сервисы и как хранятся ключи. Самым запоминающимся, был открытый сервис Firebase Remote Config, внутри которого были все ключи доступа ко всем остальным интеграциям в приложении, включая релизные и разработческие сервисы. То есть, как только эти ключи туда попали, их можно считать скомпрометированными и ненадежными. Поскольку это было финансовое приложение, интеграции также были с платежными системами.
Одной из самых тревожных находок была уязвимость в библиотеке "Jetpack Navigation". Почти каждое четвертое Android-приложение оказалось подвержено этой проблеме, позволяя обходить экран авторизации. Это означало, что любое стороннее приложение могло открыть другое приложение на главном экране без ввода пин-кода.
По-прежнему одной из самых распространённых проблем является избыточное хранение конфиденциальных данных в открытом виде. 😲 Мы обнаружили приложение, которое сохраняло абсолютно все данные, получаемые с серверной части, включая паспортные данные, СНИЛС и много другой информации пользователя, фактически не защищая их.
В нескольких приложениях были выявлены уязвимости SQL-инъекций. Это позволяло злоумышленникам менять аккаунт в уязвимом приложении. После эксплуатации такой уязвимости пользователь, открыв приложение, мог попасть в чужой аккаунт, что потенциально могло привести к кражам средств и фишингу.
Помните, что забота о безопасности мобильных приложений — это не просто обязанность, а инвестиция в доверие ваших пользователей. Платформа Стингрей поможет вам держать уровень защиты на высоте, выявляя уязвимости и укрепляя безопасность данных.
#Экспертиза_AppSec #MAST
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Новый релиз AppSec.Hub Версия 2025.1.1 [31.01.2025]
Добавили новые функции и интеграции⬇️
Интеграции:
🔹PT Application Inspector:
Перешли на работу с версией 4.9 (версии ниже более не поддерживаются) (INC-963).
🔹Solar appScreener:
Добавили поддержку импорта результатов сканирования через интеграционный API и CLI import_results.
🔹OWASP ZAP:
Исправили работу ZAP с кастомными скриптами (INC-984).
И это ещё не все. Команда AppSec.Hub постоянно работает над тем, чтобы платформа была максимально удобной и надежной, поэтому мы не можем оставить наших любимых пользователей даже без небольших изменений и исправили некоторые ошибки. 👉 Подробнее читайте на сайте
#AppSecHub_релизы
Добавили новые функции и интеграции
Интеграции:
🔹PT Application Inspector:
Перешли на работу с версией 4.9 (версии ниже более не поддерживаются) (INC-963).
🔹Solar appScreener:
Добавили поддержку импорта результатов сканирования через интеграционный API и CLI import_results.
🔹OWASP ZAP:
Исправили работу ZAP с кастомными скриптами (INC-984).
И это ещё не все. Команда AppSec.Hub постоянно работает над тем, чтобы платформа была максимально удобной и надежной, поэтому мы не можем оставить наших любимых пользователей даже без небольших изменений и исправили некоторые ошибки. 👉 Подробнее читайте на сайте
#AppSecHub_релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
AppSec.Code и IDP-платформа Marlin подтвердили совместимость продуктов
Возможность совместного использования отечественного репозитория исходного кода AppSec.Code и платформы автоматизации разработки ПО (IDP-платформы) Marlin (флагманский продукт компании HD Tech) упрощает весь процесс создания ПО: от написания и хранения исходного кода, сборки дистрибутивов с проведением проверок по типам, доставки дистрибутива и развертывание вплоть до продуктового, а также автоматизированное тестирование на каждой из сред.
🆒 Директор продукта AppSec.Code Александр Заводовский.
Степан Дудник, технический директор HD Tech.
Подробнее о новости читайте по ссылке.
🖥 Оставьте заявку на демо и оцените возможности нашего продукта.
#ТехСовместимость #AppSecCode #SCM
Возможность совместного использования отечественного репозитория исходного кода AppSec.Code и платформы автоматизации разработки ПО (IDP-платформы) Marlin (флагманский продукт компании HD Tech) упрощает весь процесс создания ПО: от написания и хранения исходного кода, сборки дистрибутивов с проведением проверок по типам, доставки дистрибутива и развертывание вплоть до продуктового, а также автоматизированное тестирование на каждой из сред.
В разработке ПО одинаково важны безопасность и скорость запуска продукта, поэтому так важно реализовать полноценный DevSecOps, используя отечественные программные продукты, которые при этом совместимы между собой. Возможность применения инструментов разных вендоров в единой экосистеме существенно сокращает time-to-market и снижает риск ошибок при разработке. Помимо этого, клиенты получают комплексное решение "под ключ", протестированное и проверенное экспертами.
Степан Дудник, технический директор HD Tech.
Ставя перед собой задачу создания экосистемы разработки программного обеспечения вокруг IDP-платформы, мы стремились построить партнерское сообщество разработчиков ПО. В результате этого мы получили универсальный набор инструментов, который не только позволит заместить иностранные решения, но и даст возможность существенно сократить срок вывода программного продукта на рынок
Подробнее о новости читайте по ссылке.
#ТехСовместимость #AppSecCode #SCM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8
Как измерить пользу AppSec для бизнеса 📊
Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр? Сегодня вместе с Анастасией Арсеньевой, аналитиком данных в AppSec Solutions обсудим ключевые метрики AppSec, которые помогают компаниям принимать обоснованные решения.
▶️ Читайте новый материал по ссылке
#ASPM #AppSec_Лонгрид
Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр? Сегодня вместе с Анастасией Арсеньевой, аналитиком данных в AppSec Solutions обсудим ключевые метрики AppSec, которые помогают компаниям принимать обоснованные решения.
#ASPM #AppSec_Лонгрид
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
Встречаемся на квартирнике по безопасной разработке!
12 февраля УЦСБ при поддержке Ассоциации РУСИБ организует квартирник по безопасной разработке – встреча без галстуков, где мы обсудим важность DevSecOps в 2025 году, обменяемся опытом и идеями в дружеской обстановке.
А в 19.00 Андрей Юрченко, руководитель группы развития продаж AppSec Solutions, расскажет про визуализацию и наглядность результатов РБПО на основе наших продуктов AppSec.Hub и Стингрей. Вас будут ждать инсайты, обзоры эффективных практик, оценка технологий и подходов, которые станут основными в области безопасной разработки.
Дата: 12 февраля, 16:00–21:00 (Екб)
Место: Клуб «Ц», пер. Центральный рынок, 6, г. Екатеринбург
Формат: офлайн или онлайн
Участие бесплатное, требуется предварительная регистрация по ссылке. Присоединяйтесь!
#AppSec_Мероприятия
12 февраля УЦСБ при поддержке Ассоциации РУСИБ организует квартирник по безопасной разработке – встреча без галстуков, где мы обсудим важность DevSecOps в 2025 году, обменяемся опытом и идеями в дружеской обстановке.
А в 19.00 Андрей Юрченко, руководитель группы развития продаж AppSec Solutions, расскажет про визуализацию и наглядность результатов РБПО на основе наших продуктов AppSec.Hub и Стингрей. Вас будут ждать инсайты, обзоры эффективных практик, оценка технологий и подходов, которые станут основными в области безопасной разработки.
Дата: 12 февраля, 16:00–21:00 (Екб)
Место: Клуб «Ц», пер. Центральный рынок, 6, г. Екатеринбург
Формат: офлайн или онлайн
Участие бесплатное, требуется предварительная регистрация по ссылке. Присоединяйтесь!
#AppSec_Мероприятия
🔥5❤2
Ошибки в коде могут грозить утечкой данных?
Иногда достаточно одной неверной строчки кода, чтобы хакеры получили доступ к информации о пользователях. Чтобы этого не произошло, важно позаботиться о безопасности еще на начальном этапе разработки.
Как это сделать, расскажут эксперты AppSec Solutions и ГК "Солар" на вебинаре 18 февраля.
▶️ Вы узнаете:
— Какие языки программирования наиболее уязвимы — исследования от AppSec Solutions.
— Как защитить ПО и веб-приложения с первых этапов разработки.
— Как можно проверить приложение на уязвимости даже без опыта в разработке.
🎙 Спикеры:
— Антон Башарин, старший управляющий директор AppSec Solutions
— Владимир Высоцкий, руководитель группы развития бизнеса Solar appScreener
— Полина Гримало, руководитель группы системной и бизнес аналитики Solar appScreener
Вебинар будет полезен как специалистам по ИБ, так и разработчикам.
Прокачайте свои знания и улучшите безопасность ваших веб-приложений и ПО.
🖥 Регистрируйтесь по ссылке и готовьте ваши вопросы!
#AppSec_Вебинары
Иногда достаточно одной неверной строчки кода, чтобы хакеры получили доступ к информации о пользователях. Чтобы этого не произошло, важно позаботиться о безопасности еще на начальном этапе разработки.
Как это сделать, расскажут эксперты AppSec Solutions и ГК "Солар" на вебинаре 18 февраля.
— Какие языки программирования наиболее уязвимы — исследования от AppSec Solutions.
— Как защитить ПО и веб-приложения с первых этапов разработки.
— Как можно проверить приложение на уязвимости даже без опыта в разработке.
— Антон Башарин, старший управляющий директор AppSec Solutions
— Владимир Высоцкий, руководитель группы развития бизнеса Solar appScreener
— Полина Гримало, руководитель группы системной и бизнес аналитики Solar appScreener
Вебинар будет полезен как специалистам по ИБ, так и разработчикам.
Прокачайте свои знания и улучшите безопасность ваших веб-приложений и ПО.
#AppSec_Вебинары
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤1