Как стать автором
Обновить
82.26
Swordfish Security
Информационная безопасность, DevSecOps, SSDL
Сначала показывать

Такие разные Android AppLinks, WebLinks, DeepLinks. Разбираемся и пытаемся сломать

Время на прочтение7 мин
Количество просмотров2.4K

Всем привет! На связи Юрий Шабалин и Веселина Зацепина, эксперты по безопасности мобильных приложений в компании Стингрей. С каждым годом мобильные приложения становятся всё более сложными и взаимосвязанными, предлагая пользователям бесшовный опыт взаимодействия. Одной из ключевых частей этого опыта являются ссылки, которые могут направить пользователя прямо на определённый экран приложения или на конкретный контент. Однако многие (как и мы до того, как написать эту статью) путают такие термины, как Deep Links, Web Links и App Links, что может привести к ошибкам в реализации и уязвимостям.

Цель этой статьи — разобраться в различиях между этим похожим функционалом, понять, какие атаки могут быть на них направлены и как ведёт себя Android, если несколько приложений пытаются зарегистрировать одни и те же ссылки. Сразу оговорюсь, что это статья не совсем похожа на наши обычные материалы — она призвана скорее рассказать, что мы узнали в процессе внутреннего исследования и консолидировать эту информацию в небольших "заметках на полях".

Надеемся, что эта статья поможет вам (как и нам в свое время) разобраться с различиями этих механизмов и даст почву для размышлений, как еще их можно проверить.

Читать далее

Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров729

Привет, эксперты!

Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.

Читать далее

IaC и DevSecOps: выбираем лучшие инструменты анализа и защиты инфраструктурного кода

Время на прочтение10 мин
Количество просмотров1.7K

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы вновь будем говорить об особенностях  статического сканирования, но на этот раз переключим фокус с программного кода на код инфраструктурный. 

Частично этот вопрос обсуждался в статье нашего коллеги про безопасность контейнеризированных приложений в DevSecOps. В этой статье будут рассмотрены краткие теоретические сведения о  подходе “Инфрастуркутра как кодˮ, место безопасности IaC в цикле DevSecOps, методы статического анализа конфигурационных файлов и ключевые особенности работы с инструментом KICS.

Читать далее

Я сдал пилотный экзамен Yandex Cloud Security Speciality, чтобы вам не пришлось

Уровень сложностиПростой
Время на прочтение7 мин
Количество просмотров2.5K

Привет! На связи Влад Павловский, DevSecOps инженер компании Swordfish Security. В данной заметке хотел бы поделиться с вами опытом прохождения сертификации Yandex Cloud Security Speciality, который был запущен в октябре и так получилось, что у меня получилось пройти пилотный экзамен по приглашению команды сертификации Yandex Cloud и получить сертификат одним из первых, так что, надеюсь, мой отзыв будет полезен тем, кто рассматривает возможность записаться на прохождение сертификации или тем, кто уже записался и хотел бы узнать больше о том, что ожидает при сдаче. Поехали!

Читать далее

Регуляторика РБПО. Часть 3 – Требования к КИИ (и немного ASPM)

Уровень сложностиПростой
Время на прочтение12 мин
Количество просмотров711

Доброго дня, уважаемые!

Идём по плану и сегодня делаем обзор требований регуляторов к практикам разработки безопасного ПО (РБПО) для отраслей, относящихся к критической информационной инфраструктуре. Такой регуляторики немного, пройдемся быстро.

Читать далее

Dependency-Track v4.12: обзор обновлений

Время на прочтение5 мин
Количество просмотров547

Прошло почти полгода с момента предыдущего релиза Dependency‑Track v4.11 (о котором мы также писали в этой статье). 1 октября вышел новый релиз Dependency‑Track v4.12.0, а на днях — релиз v4.12.1. Мы опробовали новый функционал и готовы рассказать о тех изменениях, которые показались нам наиболее интересными.

Этот релиз в основном был посвящен работе с тегами. Также был добавлен новый интерфейс для работы с нарушениями политик и, изменены правила работы с API. Но обо всем по порядку.

Читать далее

Безопасность цепочек поставок ПО. Построение процессов с помощью OSS

Уровень сложностиПростой
Время на прочтение10 мин
Количество просмотров928

Привет, Хабр! Рассказываем об одном из вариантов применения Open Source инструментов Software Supply Chain Security. Коллеги по цеху попросили выложить небольшой его обзор сюда:)


Эта статья является краткой текстовой версией моего доклада с конференции PHD2. Если тема вас заинтересует, можете посмотреть полное выступление по ссылкам: [RuTube] / [YouTube].

Читать далее

Регуляторика РБПО. Часть 2 – Требования в финансовой отрасли

Уровень сложностиПростой
Время на прочтение14 мин
Количество просмотров743

Всем привет!

С вами Альбина Аскерова, руководитель направления по взаимодействию с регуляторами в Swordfish Security. Мы продолжаем цикл статей, посвященный регуляторике разработки безопасного ПО (РБПО).

Первая статья об общих требованиях доступна по ссылке (там же можно увидеть, что планируется в следующих материалах). Сегодня пройдемся по требованиям к компаниям из финансовой отрасли.

Напомню, мы рассматриваем всю регуляторику, которая касается ИБ и процесса безопасной разработки, а также ту, которую можно частично выполнить внедрением практик DevSecOps. Кратко не получится, так как у Банка России (БР) нашли 13 действующих документов!

Читать далее

Регуляторика РБПО. Часть 1 – Введение. Общие требования

Уровень сложностиПростой
Время на прочтение11 мин
Количество просмотров1.7K

Привет, уважаемые любители защищенных приложений! В нашем блоге мы привычно освещаем практические кейсы разработки безопасного ПО (РБПО), но заметили, что вас также интересует мир регуляторики. Понимаем, не осуждаем и поэтому сегодня открываем серию статей с обзором актуальных нормативных требований, которые касаются практик безопасной разработки или реализуются с помощью внедрения практик DevSecOps. Выясним, на какие отрасли распространяется регуляторика и какую юридическую ответственность она влечет за собой, а также рассмотрим тренды и прогнозы на ближайшее будущее.  

Читать далее

Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2

Время на прочтение15 мин
Количество просмотров568

Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM.

В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования.

Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!

Читать далее

Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

Время на прочтение18 мин
Количество просмотров720

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen. Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать.

Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах.

Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

Читать далее

Так ли бесплатен Open Source: подводные камни ИБ-инструментов с открытым исходным кодом

Время на прочтение8 мин
Количество просмотров3.8K

Для многих понятие Open Source ассоциируется с бесплатными программными продуктами. И правда, кто не хочет получить что-то задаром, особенно когда речь идет о таких сложных решениях, как инструменты для обеспечения безопасности приложений? Но давайте здесь остановимся и проанализируем, действительно ли это настолько выгодно.

Читать далее

Разбираемся с новой уязвимостью Android-библиотеки Jetpack Navigation: как открыть любой фрагмент из вашего приложения?

Время на прочтение16 мин
Количество просмотров5.4K

Всем привет!

На связи эксперты из Стингрей Технолоджиз – Юрий Шабалин, Веселина Зацепина и Игорь Кривонос. Недавно специалисты из компании Positive Technologies нашли серьезную проблему безопасности в популярной библиотеке для навигации в приложениях Android – Jetpack Compose Navigation. Эта уязвимость позволяет открывать любые фрагменты внутри приложения.

К большому сожалению, несмотря на усилия сообщества, об этой уязвимости мало кто знает. Поэтому сегодня мы хотим еще раз подсветить данную проблему с углублением в детали. В статье мы разберем, что из себя представляет библиотека Jetpack Compose и ее основные элементы, в чем заключается уязвимость и насколько она опасна, а также приведем немного статистики по уязвимым приложениям.

Интересно? Тогда давайте начинать!

Читать далее

Анализ Docker-образов на соответствие требованиям комплаенс

Время на прочтение26 мин
Количество просмотров4.1K

Всем привет! Меня зовут Максим Чиненов, я работаю в компании Swordfish Security, где занимаюсь внедрением, развитием и исследованием инструментов и процессов связанных с практиками Cloud & Container Security.

Сегодня мы разберем работу инструмента OCI‑image‑compliance‑scanner, разработанного в нашей компании для покрытия задач по аудиту образов на лучшие практики компоновки.

Читать далее

Защита персональных данных в мобильных приложениях: как не нарушить закон

Время на прочтение12 мин
Количество просмотров3K

Всем привет! На связи снова Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». В предыдущей статье я рассказывал о влиянии Профиля защиты ЦБ РФ на мобильные приложения. В продолжение темы российского законодательства сегодня разберем, под какие еще требования попадают приложения, насколько законно хранить персональные данные на смартфоне в открытом виде и попадает ли мобильное ПО под действие Федерального закона "О персональных данных" (152-ФЗ) и подзаконных актов по теме защиты ПДн? Постараюсь разъяснить всё максимально понятно.

Читать далее

Trivy: вредные советы по скрытию уязвимостей

Время на прочтение52 мин
Количество просмотров4.1K

Привет, Хабр! 

Это что, еще одна статья о Trivy? Кажется, будто ничего нового уже об этом инструменте написать нельзя, а сам сканер внедрен в компаниях даже с низким уровнем зрелости ИБ. Но мы заметили, что большая часть статей в интернете представляет собой развернутое руководство по администрированию. А вот описания внутренней логики его работы нам найти так и не удалось.

Определенные выводы можно сделать после внимательного изучения раздела “Coverage” из официальной документации сканера. Это наводит на мысль: “Очевидно, что Trivy сканирует конфигурационные файлы установщиков и пакетных менеджеров”. Но, как часто подобное бывает в математике, очевидное совсем не очевидно и требует доказательств. Именно поэтому, как выразился один из наших коллег, мы «зареверсим опенсурс» и попытаемся разобраться, как в точности работает сканер Trivy. Материал подготовила Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. 

Читать далее

Профиль защиты ЦБ РФ и мобильные приложения: разбираемся, как соответствовать

Время на прочтение16 мин
Количество просмотров1.8K

Всем привет! На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Вообще я сторонник технических материалов, статей с примерами кода или разбором технологий, но сегодня речь пойдет о другом. Меня всегда интересовало, почему в требованиях регуляторов в области ИБ не указываются проверки мобильных приложений на соответствие государственным стандартам или федеральным законам. И вот недавно, изучая материалы документа по сертификации процесса безопасной разработки, я наткнулся на упоминание мобильной составляющей, что, конечно, вызвало у меня интерес и желание разобраться. Если вы тоже хотите понять, каким образом приложения упоминаются в Профиле защиты Банка России, и какие проверки необходимо осуществлять, чтобы ему соответствовать, приглашаю погрузиться со мной в этот увлекательный мир.

Читать далее

Вышел релиз Dependency-Track v4.11: обзор обновлений

Время на прочтение3 мин
Количество просмотров1.2K

7 мая 2024 года OWASP Dependency‑Track выпустил новую версию сканера уязвимостей — Dependency‑Track v4.11.0. Релиз предлагает множество улучшений, облегчающих работу с инструментом.

Читать далее

Фокус на безопасность мобильных приложений

Время на прочтение12 мин
Количество просмотров1.5K

Всем привет!

На связи Юрий Шабалин, генеральный директор «Стингрей Технолоджиз». Недавно я проводил вебинар для новых сотрудников компании, в котором рассказывал про проблемы безопасности мобильных приложений, а именно, почему важно их защищать, какие особенности встречаются при разработке и сопровождении, какие для них есть специфические вектора атак и почему мобильная безопасность до сих пор идет самым последним эшелоном. В процессе я понял, что стоит написать об этом на широкую аудиторию. Ну что же, начнем?

Читать далее

<Cookie> ctrl+c ctrl+v: автоматизируем прохождение авторизации в DAST

Время на прочтение7 мин
Количество просмотров1.1K

Привет, Хабр!

С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. В этой статье мы разберемся, как пройти авторизацию в DAST-сканере с помощью прокси. Почему мы решили взяться за эту тему? Сейчас расскажем.

Читать далее

Информация

Сайт
swordfish-security.ru
Дата регистрации
Дата основания
Численность
101–200 человек
Местоположение
Россия
Представитель
Andrey Krasovskiy