Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

Всем привет! На связи Юрий Шабалин, управляющий директор Стингрей. И сегодня у нас тема не про мобильные приложения, а, пожалуй, самая трендовая — про AI-ассистентов и их проблемы.

Приветы после долгого перерыва!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Сегодня в завершающей статье по Регуляторике РБПО:

- напомним о применимой законодательной ответственности,
- расскажем, что сейчас в проектах у регуляторов на 2025 год, а что уже есть нового утвержденного,
- покажем майндкарты регуляторики.

В конце будет розыгрыш мерча, который обещали в 1 части 😊

Как объяснить руководству, что AppSec — это не просто устранение уязвимостей, а важный инструмент для роста бизнеса? Как показать реальную пользу безопасности на языке цифр?

Меня зовут Анастасия Арсеньева, я аналитик данных в AppSec Solutions (ГК Swordfish Security). В этой статье расскажу о ключевых метриках AppSec, которые помогают компаниям принимать обоснованные решения.

Всем привет!

На связи Веселина Зацепина и Юрий Шабалин, эксперты по безопасности мобильных приложений из компании Стингрей. Сегодня мы затронем очень интересную тему — сервисы Firebase. Поговорим об их применении в мобильных приложениях и о том, как обеспечить их безопасность. Эта статья призвана обратить внимание разработчиков и ИБ-специалистов на внешние сервисы, которые используют приложения, поскольку они часто остаются без должного внимания и аудита. Очень надеемся, что после прочтения вы начнёте по-другому смотреть на безопасность мобильных продуктов, ведь они обмениваются данными не только с собственными серверами, но и с многими другими.

И, конечно, мы попробуем ответить на вопрос: что же может быть страшного в, казалось бы, стандартных и привычных сервисах? Интересно? Тогда начнём!

Всем привет! На связи Юрий Шабалин и Веселина Зацепина, эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия. Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.

Цель этой статьи — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки. Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".

Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить.

Привет, эксперты!

Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы вновь будем говорить об особенностях  статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный. 

Частично этот вопрос обсуждался в статье нашего коллеги про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о  подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.

Привет! На связи Влад Павловский, DevSecOps инженер компании Swordfish Security. В данной заметке хотел бы поделиться с вами опытом прохождения сертификации Yandex Cloud Security Speciality, который был запущен в октябре и так получилось, что у меня получилось пройти пилотный экзамен по приглашению команды сертификации Yandex Cloud и получить сертификат одним из первых, так что, надеюсь, мой отзыв будет полезен тем, кто рассматривает возможность записаться на прохождение сертификации или тем, кто уже записался и хотел бы узнать больше о том, что ожидает при сдаче. Поехали!

Доброго дня, уважаемые!

Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

Прошло почти полгода с момента предыдущего релиза Dependency‑Track v4.11 (о котором мы также писали в этой статье). 1 октября вышел новый релиз Dependency‑Track v4.12.0, а на днях — релиз v4.12.1. Мы опробовали новый функционал и готовы рассказать о тех изменениях, которые показались нам наиболее интересными.

Этот релиз в основном был посвящен работе с тегами. Также был добавлен новый интерфейс для работы с нарушениями политик и, изменены правила работы с API. Но обо всем по порядку.

Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:)

Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете посмотреть полное выступление по ссылкам: [RuTube] / [YouTube].

Всем привет!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО).

Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли.

Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.  

Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM.

В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования.

Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen. Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать.

Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах.

Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

Для многих понятие Open Source ассоциируется с бесплатными программными продуктами. И правда, кто не хочет получить что-то задаром, особенно когда речь идет о таких сложных решениях, как инструменты для обеспечения безопасности приложений? Но давайте здесь остановимся и проанализируем, действительно ли это настолько выгодно.

Всем привет!

На связи эксперты из Стингрей Технолоджиз – Юрий Шабалин, Веселина Зацепина и Игорь Кривонос. Недавно специалисты из компании Positive Technologies нашли серьезную проблему безопасности в популярной библиотеке для навигации в приложениях Android – Jetpack Compose Navigation. Эта уязвимость позволяет открывать любые фрагменты внутри приложения.

К большому сожалению, несмотря на усилия сообщества, об этой уязвимости мало кто знает. Поэтому сегодня мы хотим еще раз подсветить данную проблему с углублением в детали. В статье мы разберем, что из себя представляет библиотека Jetpack Compose и ее основные элементы, в чем заключается уязвимость и насколько она опасна, а также приведем немного статистики по уязвимым приложениям.

Интересно? Тогда давайте начинать!

Всем привет! Меня зовут Максим Чиненов, я работаю в компании Swordfish Security, где занимаюсь внедрением, развитием и исследованием инструментов и процессов связанных с практиками Cloud & Container Security.

Сегодня мы разберем работу инструмента OCI‑image‑compliance‑scanner, разработанного в нашей компании для покрытия задач по аудиту образов на лучшие практики компоновки.

Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы российского законодательства сегодня разберем, под какие еще требования попадают приложения, насколько законно хранить персональные данные на смартфоне в открытом виде и попадает ли мобильное ПО под действие Федерального закона "О персональных данных" (152-ФЗ) и подзаконных актов по теме защиты ПДн? Постараюсь разъяснить всё максимально понятно.