Если домен поменять, бэк будет вести по-другому?
Они передаются обратно?

Читать полностью…

Коллеги, а наличие в коде на фронте (в js, например), локальных доменов, недоступных извне - это является уязвимостью? С одной стороны - доп инфа для атакующих о внутренностях сети (если они смогут получить доступ во внутреннюю сеть). С другой - наверное, не просто так домены вшиты в фронт, убрав их - это может что-то сломать? Есть где-то статья на это дело?

Читать полностью…

Рустам: "Эта звезда, по итогу должна быть построена в любой организации"

Читать полностью…

Если кому интересно кстати я в линке пишу про интеграцию бизнеса с ИБ, вот подборка некоторых постов:

https://www.linkedin.com/posts/denis-yakimov-ciso_ciso-mba-security-activity-7276882094696333313-x8ZI/

Читать полностью…

К положительному импакту на бизнес может относиться например сокращение latency для клиента при регистрации за счет модернизации WAF/bot protection, либо упрощение каких то проверок безопасности и улучшение UX

Читать полностью…

"а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM"... а это не риск - менеджмент (вариант 2)?

Читать полностью…

ааа.. Спросил нашел ) https://github.com/Jet-Security-Team/DevSecOps-Assessment-Framework

Читать полностью…

Эх... Смотрел) Ощущение, что в сообществе Rust воспринимается только в качестве ЯП для системного программирования

По сути все unsafe кейсы покрываются анализатором компилятора или clippy

Читать полностью…

Попробуй тут глянуть

https://github.com/osirislab/awesome-rust-security

Читать полностью…

@Lera367f: user has been CAS banned

Читать полностью…

А фантазировать над возможностями можно долго, зависит от того, что конкретно нужно и какие конкретно ограничения

Читать полностью…

Что Вы закладываете в термин «агента для запуска»?

Читать полностью…

Не, так не работает, к сожалению

Читать полностью…

Добрый день. А кто-нибудь знает как авторизацию к cdxgen можно прикрутить, чтобы напрямую из приватных реп сбомить?

Читать полностью…

14 F K: user has been CAS banned

Читать полностью…

Ну тут надо разрабовтчпрашивать и бить их по рукам

Читать полностью…

Так отключите ваф, зачем он?

Читать полностью…

https://postimg.cc/5H649N7X

Читать полностью…

Или например забустить сейлс и маркетинг за счет сертификаций, промоут материалов, индексации в интернетах

Читать полностью…

Не все что положительно импактит на бизнес это про устранение рисков

Я здесь согласен с идеей Рустама

Читать полностью…

🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии❔

Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений❔

Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша❔

И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.

В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.

🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map).

И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.

Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ. ✅

Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙

#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски

Читать полностью…

Привет всем. Напомните пожалуйста ссылочкой фреймворк DevSecOps от Jet. Ну или их аббривиатуру.

Читать полностью…

* тут должна быть шутка, что rust безопасный язык, зачем саст?)))))

Читать полностью…

Коллеги, подскажите пожалуйста. Здесь есть люди, которые используют иностранные решения для SAST'a?

По большей части интересует Rust и рулы, которые направлены на A03: Injection, A01:Broken Access Control, A02: Crypto Failures, A05: Security Misconfiguration, A10:SSRF. Но рад был бы любым комментариям

Не имел опыта тестирования платных решений в части сканирования на веб-уязвимости. Сейчас использую Semgrep / начинаю CodeQL (буквально недавно вышел extractor под Rust)

Читать полностью…

Тогда понял, да, спасибо, об этом думал, но, к сожалению, не подходит в моем кейсе.

Читать полностью…

Прослойка, которая может как обращаться к приватным репам, чтобы стягивать с них мержи/коммиты/код/артефакты, так и запускать тот же cdxgen под нужный нам проект

Читать полностью…

Можно создать агента для запуска (если не умеете кодить, то через чатгпт) и прикрутить к нему уже авторизацию. Напрямую, к сожалению никак

Читать полностью…

Есть подозрение, что тем же способом что ты настраиваешь приватные репы для окружения разработчика. Энвы и настроенный гит с вытекающими

Читать полностью…

Андрей: user has been CAS banned

Читать полностью…

@kulub36762: user has been CAS banned

Читать полностью…