Привет, Хабр! Меня зовут Мария Рачева, я ведущий аналитик процессов безопасной разработки в Swordfish Security.

На первый взгляд может казаться, что безопасная разработка — это лишние затраты. Но стоит багу прорваться в продакшн, и расходы растут сами собой. В этой статье мы сравним реальные цифры: сколько стоит защитить приложение на каждом этапе жизненного цикла и сколько обходится исправление последствий после инцидента.

Всем привет!

Это продолжение статьи о трансформации подхода к использованию ИИ — от базового применения к AI-Native.
В первой части мы разобрали уровни зрелости искусственного интеллекта, ключевые этапы ИИ-трансформации и классификацию приложений и модальностей LLM.

Читать первую часть

Во второй части:

Эволюция инженерных практик

От Software к Trustware: в процессе непрерывной технологической трансформации

AI-Powered Trustware Development Lifecycle

Риски безопасности AI-Native приложений

Решения для реализации защищенного ИИ

Лучшие практики

Привет!

С вами Юрий Сергеев, основатель и генеральный партнер в Swordfish Security. Мы строим DevSecOps и развиваем безопасный искусственный интеллект.

В этой статье я расскажу, как компании переходят от базового применения ИИ к концепции AI-Native, какие уровни зрелости существуют, как классифицируются приложения и модальности, а также с какими рисками сталкиваются организации при внедрении ИИ.

Привет! С вами Влад Павловский, руководитель группы безопасности приложений в Swordfish Security. В этой статье мы посмотрим (в том числе с технической точки зрения) баги, глитчи и недоработки, которые сообщество Stardew Valley нашло и собрало в кучу, чтобы спустя 9 лет после релиза игры реализовать сбор Community Center за 4 минуты от старта игры с нового сохранения.

Эта статья является «режиссёрской версией» доклада, представленного в августе 2025 года на конференции Offzone. В связи с форматом и ограниченным таймингом выступления пришлось сократить некоторый контекст как по ретроспективе, так и по сути багов – в тексте эти детали будут на месте!

Разбираем метод глубокого анализа уязвимостей (Deep-dive), когда простая рекомендация из SCA-отчета не решает проблему, и нужно копать глубже — вплоть до кода библиотеки, контекста использования и ручной проверки уязвимости.

На практике продакшен-модели чаще всего «падают» из-за трёх вещей: несоответствие с инфраструктурой, дрейфа данных, и ошибочного отката/обновления версии.
Единый гайд по безопасной разработке ML-моделей — от хаотичного до полностью автоматизированного уровня зрелости.

Что внутри:

Как применять Infrastructure-as-Code для ML-кластеров и не оставлять открытые порты;

Зачем даже маленькой команде нужен Feature Store и как избежать training-serving skew;

Где прячутся CVE в ML-библиотеках и как их ловить до релиза;

Канареечный деплой с авто-откатом по метрикам и разумными порогами;

мониторинг дрейфа данных и качества модели в реальном времени;

Чек-лист DevSecOps: от тега в Model Registry до регулярных Model Review.

Материал поможет выстроить MLOps-процесс, устойчивый к атакам и сбоям, не превращая релизы моделей в ночной марафон.

Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

Всем привет! На связи Юрий Шабалин, управляющий директор Стингрей. И сегодня у нас тема не про мобильные приложения, а, пожалуй, самая трендовая — про AI-ассистентов и их проблемы.

Приветы после долгого перерыва!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Сегодня в завершающей статье по Регуляторике РБПО:

- напомним о применимой законодательной ответственности,
- расскажем, что сейчас в проектах у регуляторов на 2025 год, а что уже есть нового утвержденного,
- покажем майндкарты регуляторики.

В конце будет розыгрыш мерча, который обещали в 1 части 😊

Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр?

Меня зовут Анастасия Арсеньева, я аналитик данных в AppSec Solutions (ГК Swordfish Security). В этой статье расскажу о ключевых метриках AppSec, которые помогают компаниям принимать обоснованные решения.

Всем привет!

На связи Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей. Сегодня мы затронем очень интересную тему — сервисы Firebase. Поговорим об их применении в мобильных приложениях и о том, как обеспечить их безопасность. Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.

И, конечно, мы попробуем ответить на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!

Всем привет! На связи Юрий Шабалин и Веселина Зацепина, эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия. Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.

Цель этой статьи — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки. Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".

Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить.

Привет, эксперты!

Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы вновь будем говорить об особенностях  статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный. 

Частично этот вопрос обсуждался в статье нашего коллеги про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о  подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.

Привет! На связи Влад Павловский, DevSecOps инженер компании Swordfish Security. В данной заметке хотел бы поделиться с вами опытом прохождения сертификации Yandex Cloud Security Speciality, который был запущен в октябре и так получилось, что у меня получилось пройти пилотный экзамен по приглашению команды сертификации Yandex Cloud и получить сертификат одним из первых, так что, надеюсь, мой отзыв будет полезен тем, кто рассматривает возможность записаться на прохождение сертификации или тем, кто уже записался и хотел бы узнать больше о том, что ожидает при сдаче. Поехали!

Доброго дня, уважаемые!

Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

Прошло почти полгода с момента предыдущего релиза Dependency‑Track v4.11 (о котором мы также писали в этой статье). 1 октября вышел новый релиз Dependency‑Track v4.12.0, а на днях — релиз v4.12.1. Мы опробовали новый функционал и готовы рассказать о тех изменениях, которые показались нам наиболее интересными.

Этот релиз в основном был посвящен работе с тегами. Также был добавлен новый интерфейс для работы с нарушениями политик и, изменены правила работы с API. Но обо всем по порядку.

Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:)

Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете посмотреть полное выступление по ссылкам: [RuTube] / [YouTube].

Всем привет!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО).

Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли.

Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.