Представлен лёгкий браузер для парсинга данных и ИИ‑агентов — открытый Obscura на Rust работает в разы быстрее подобных проектов и занимает меньше ресурсов, чем Сhrome или Firefox:
без графического интерфейса — максимальная автоматизация;
Stealth Mode, который скрывает признаки ИИ‑агентов. Так сайты не будут распознавать устройство как бота;
использует лишь 30 МБ оперативной памяти;
сам браузер весит около 70 МБ;
грузит страницы за 85 мс;
после запуска браузер готов к работе практически сразу без дополнительных настроек.
DDoS-атака не всегда очевидна. Резкий рост нагрузки может оказаться как настоящей атакой, так и вполне легитимным всплеском трафика после рекламной кампании или важного инфоповода. В совместном материале с ITSumma разбираем, как быстро отличить одно от другого, на какие метрики смотреть в первую очередь и какие действия предпринимать в первые минуты после обнаружения проблемы.
Если вы отвечаете за стабильную работу сайта, интернет-магазина или корпоративного сервиса, эта статья поможет лучше понять логику реагирования на DDoS-инциденты и выбрать подходящую стратегию защиты.
Отдельное внимание уделяем двум основным моделям защиты — Always-On и On-Demand. Рассматриваем, чем они отличаются, в каких случаях каждая из них эффективнее, а также какие компромиссы приходится учитывать при выборе между постоянной фильтрацией трафика и подключением защиты только во время атаки.
Неделю назад КиберËж проводил CyberWeekend (где там правда викенд они нашли в начале недели, я не знаю 😂) и, в том числе, пригласили меня побеседовать про Программно-аппаратный хакинг как одно из самых сложных и интересных направлений в кибербезопасности, объединяющее знания из программирования, электроники, сетей, встроенных систем и реверс-инжиниринга.
В рамках диалога мы с Павлом осветили такие темы, как: * Почему специалистов в этой области так мало и чем они занимаются на практике. * Почему искусственный интеллект пока не способен заменить экспертов по аппаратному хакингу: работа с реальными устройствами требует опыта, интуиции и нестандартного мышления. * Как после 2022 года изменились основные направления атак и почему всё больше внимания уделяется IoT-устройствам и объектам физической инфраструктуры. * Какие навыки стоит развивать уже сегодня тем, кто интересуется IT, электроникой и информационной безопасностью.
Могу с уверенностью сказать, что доклад будет полезен начинающим специалистам, студентам технических направлений и всем, кто хочет понять, как устроена одна из самых редких и востребованных профессий в сфере кибербезопасности.
Ну и конечно же, интервью можно легко посмотреть в 📺 ВКвидео.
🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте
С помощью приглашённого эксперта Екатерины Рудиной, аналитиком департамента перспективных технологий "Лаборатории Касперского", мы разобрались, в чём сходство и различие таких систем с безопасным ПО, как соотносятся создание систем с КИБ и разработка безопасного ПО, чем полезен в работе специалистов по ИБ новый ГОСТ Р 72118—2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки".
Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.
Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024
Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".
НЕкурс про РБПО
Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.
Сквозное шифрование, или как Telegram и Concord защищают переписку.
Хочу написать небольшой пост о сквозном шифровании, или, если использовать технический термин, E2EE (End-to-End Encryption).
Сегодня эта технология широко применяется во многих мессенджерах. Я тоже реализовал E2EE в мессенджере Concord. Однако далеко не все понимают, как именно работает этот механизм, поэтому попробую объяснить простыми словами.
Поскольку я являюсь разработчиком и основателем собственного мессенджера, реализовать эту схему для меня не составило особого труда. Главный секрет заключается в понимании принципов работы криптографических алгоритмов, таких как AES и RSA. Хотя современные реализации E2EE обычно используют не RSA, а алгоритмы на эллиптических кривых (например, X25519), я не стал прибегать к усложнениям.
Алгоритм AES я использовал для непосредственного шифрования текстового сообщения, которое один пользователь отправляет другому. Для шифрования применяется секретный ключ (или пароль). Основная проблема такого подхода заключается в том, что этот ключ необходимо каким-то образом передать получателю. Если злоумышленник перехватит ключ, он сможет расшифровать сообщение.
Чтобы этого не произошло, я использовал ещё один алгоритм - RSA. Для его работы требуется пара криптографических ключей: публичный и приватный. Так как RSA не предназначен для шифрования больших объёмов данных, я его использовал для безопасной передачи того самого секретного ключа, который используется алгоритмом AES.
В результате схема выглядит так.
Сначала текст сообщения шифруется алгоритмом AES с использованием случайного секретного ключа. Затем этот ключ шифруется алгоритмом RSA с использованием публичного ключа получателя. Когда получатель отправляет ответ, он выполняет ту же самую операцию, но уже с публичным ключом аппонента.
Важно понимать, что публичный ключ предназначен только для шифрования. Расшифровать данные с его помощью невозможно. Для расшифровки существует только соответствующий ему приватный ключ.
Когда получатель открывает сообщение, его устройство сначала с помощью приватного ключа RSA расшифровывает секретный ключ AES, а затем уже этим ключом расшифровывает само сообщение.
В моём приложении это работает следующим образом. Публичные ключи пользователей хранятся на сервере. Когда пользователь отправляет сообщение, приложение запрашивает у сервера публичный ключ получателя, шифрует сообщение на устройстве пользователя и отправляет на сервер уже зашифрованные данные. Сервер выступает лишь в роли посредника и пересылает этот зашифрованный пакет получателю. Сам сервер приватные ключи не хранит.
При этом приватные ключи никогда не покидают устройство пользователя. Они хранятся в защищённом хранилище смартфона, и получить к ним доступ не может ни сервер, ни разработчик приложения, ни кто-либо ещё. Поэтому расшифровать переписку может только владелец соответствующего приватного ключа.
В этом и заключается смысл сквозного шифрования: сервер передаёт сообщения, но не имеет возможности их прочитать.
Именно поэтому было довольно забавно наблюдать, как спецслужбы требовали у Павла Дурова "ключи шифрования", чтобы получить доступ к переписке пользователей Telegram. Никаких универсальных ключей у него нет и быть не может - приватные ключи находятся только на устройствах самих пользователей.
Именно поэтому требование "передать ключи" технически лишено смысла. Передавать попросту нечего.
П.С.
Я - сетевой долгожитель и начинал свой путь еще в эпоху Фидонета (FidoNet). Эта сеть была по-настоящему децентрализованной: никаких общих серверов и никакого DNS. Все строилось просто: компьютер, модем и терминальная программа для связи. Часто в роли узла (ноды) выступал сервер в банке, где знакомый сисадмин выделял адреса. При этом подключиться можно было к любому другому участнику, даже к частному лицу. Вот это и была настоящая децентрализация! Думаю, учитывая растущее давление регуляторов на современный интернет, мы скоро снова вернемся к проверенным идеям старого доброго Фидо.
Как не пропустить опасные участки кода при ревью? Можно воспользоваться инструментами статического анализа. Возьмём для примера OrcaSlicer — популярную программу, которая подготавливает 3D-модель к печати. Заглянем внутрь и посмотрим, какие сюрпризы нас ждут.
Посмотрим на одно из предупреждений статического анализатора PVS-Studio:
V1047 Lifetime of the lambda is greater than lifetime of the local variable ‘do_stop’ captured by reference. FillBedJob.cpp 250
Лямбда-выражение захватывает локальную переменную do_stop по ссылке, а затем сохраняется в params.on_packed. При этом do_stop уничтожается при выходе из метода process, так как заканчивается время жизни локального объекта. Если лямбда будет вызвана после выхода из этой функции-члена, произойдёт обращение к разрушенному объекту, и поведение в этой ситуации не определено.
Можно было бы сделать захват по значению, но в этой лямбде происходит перезапись переменной do_stop, а значит такой вариант не подходит. Поэтому можно сделать do_stop членом класса FillBedJob.
Это лишь один фрагмент, показывающий, что даже в работающем продукте могут быть ошибки. А другие опасные места в коде OrcaSlicer разобрали в новой статье.
Если вы тоже хотите минимизировать ошибки в своих проектах, сделайте статический анализ частью регулярного процесса, а поможет с этим PVS-Studio.
Узнайте, как использовать новые требования к КИИ как конкурентное преимущество
Работаете с ГИС или объектами КИИ и ищете способ выполнить регуляторные требования, не теряя в гибкости и скорости? Эксперты Cloud.ru разберут, как облачная инфраструктура закрывает вопросы защиты и при этом становится реальным инструментом развития.
На вебинаре разберем:
Актуальные изменения в требованиях к ГИС и КИИ — что важно учесть прямо сейчас.
Какие сценарии возможны с решением «Облако для КИИ» и что оно дает.
Способы применения: от защищенной инфраструктуры до ускорения цифровых сервисов.
Будет полезно инженерам инфраструктуры, руководителям ИБ-направлений, менеджерам цифровой трансформации и всем, кто планирует работать с ГИС и КИИ.
📅 Когда? 7 июля в 11:00 мск.
📍 Где? Онлайн. Зарегистрируйтесь, чтобы задать вопросы спикеру в прямом эфире.
Вебинар уже через 20 минут: расскажем, как защищать данные в S3
В 12:00 мск на вебинаре разберем все: от базовых Bucket Policies и версионирования до продвинутых Conditional Write, Object Lock (WORM) и клиентского шифрования. Расскажем, как комбинировать эти инструменты для защиты от случайного удаления и кибератак. Объясним, как соответствовать регуляторным требованиям. Вебинар практический, так что вы увидите реальные примеры настройки S3 через API и CLI.
Вы узнаете
Какие уровни защиты данных в S3 существуют
Как настраивать версионирование, Conditional Write, Object Lock, шифрование с реальными командами и примерами кода
Какие границы и подводные камни существуют у каждого инструмента
Как комбинировать механизмы для защиты от ransomware, случайного удаления, взлома ключей и соответствия 152-ФЗ
Приглашаем на вебинар "Информационная безопасность корпоративных систем: практика, требования ФСТЭК и опыт Luxms BI"
Дата и время: 2 июля, четверг, в 16:00 по мск
Информационная безопасность сегодня — базовое требование, а не «опция». Основные угрозы — не "суперхаки", как в кино, а системные слабости: небезопасные сборки, слабый контроль доступа, уязвимости, и, конечно же, человеческий фактор.
На вебинаре эксперты Техконсур, ГИС, Аренадата, РОССИННО и Luxms BI обсудят современные угрозы для корпоративных систем, практику применения уровней доверия ФСТЭК и подходы к разработке и эксплуатации защищенного программного обеспечения:
как изменился ландшафт угроз для корпоративных систем в 2026 году;
для каких организаций и проектов действительно важны уровни доверия ФСТЭК;
как требования регулятора влияют на процессы разработки, сборки и поставки программного обеспечения;
какие механизмы контроля, протоколирования и администрирования необходимы современной корпоративной платформе;
как выстроить развитие продукта с учетом требований информационной безопасности.
Frontend-приложения (личные кабинеты, онлайн-банки, маркетплейсы, сайты, лендинги и т. д.) выполняются в браузере пользователя — традиционной "слепой" зоне для безопасности. В вебинаре рассмотрены актуальные угрозы, крупнейшие инциденты, построение модели угроз и то, как применение анализатора класса FAST (Frontend Application Security Testing) снижает риски и делает frontend-приложения безопасными. Объясняется, почему классические анализаторы имеют низкую достоверность для frontend-приложений, и как использовать FAST-анализатор в процессах РБПО по ГОСТ Р 56939—2024.
Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.
Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024
Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".
НЕкурс про РБПО
Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.
Эффект замыленного глаза: как бороться с выгоранием просматривая тысячу файлов в день
Привет читатели! Первая статья залетела неплохо, а значит я, Катя DLPшка, пишу все это не просто так. И пока собираюсь с мыслями для следующей статьи, поделюсь личными лайфхаками
Я уже писала, что работаю аналитиком в информационной безопасности и отвечаю за DLP-систему. В целом всё нравится. И хотя смотреть логи по восемь часов в день – это порой забавно, но чаще все-таки монотонно и муторно. Для себя я выделила три режима просмотра инцидентов, и к каждому у меня припасен свой антидот от выгорания
№1: «В офисе штиль» (или когда все пользователи вымерли)
Бывает такое: тишина, ни одного алерта, продуктивность упала ниже плинтуса. Я просмотрела все отчеты, файлы и настройки, а делать ну совсем нечего. Скука смертная. Особенно перед праздниками
Как говорила моя мама: лучший отдых – это смена деятельности. И пока пользователи пытаются расшевелиться, я переключаюсь на другие задачки. Ну и, конечно, занимаюсь своим любимым офисным развлечением – социальной инженерией в мирных целях. Люблю наблюдать за коллегами, например, кто под какой трек работает, а кто забыл заблокировать экран, уходя на обед... Если вижу беззащитный монитор, то ставлю на рабочий стол обои с огромным кабачком хехехе. Наказания могут быть веселыми.
№2: «Шквальный огонь» (глаза в кучку)
А бывает наоборот: сотрудников много, алерты прилетают в бесконечном режиме, как из пулемета. Вы, конечно, скажете: «Настрой правила получше, и будет тебе счастье». Но давайте не забывать то, что сегодня считается утечкой, завтра уже нормальный рабочий сценарий (кстати если хотите статью или пост про False Positive, то опишитесь в комментах). В такие моменты замыливаются не только глаза, но и мозг плывет 🫠 Но я не расстраиваюсь, делаю вдох-выдох и следую паре простых правил:
Меняю фокус. Не смотрю на один и тот же тип алертов часами. Отсмотрела скриншоты – переключилась на переписку, потом на файлы. Мозгу нужна встряска
Использую таймер. 40 минут работы – 5 минут отдыха с шортсами или кофе. Серьезно, метод Pomodoro спасает даже в ИБ
Включаю фон. Если не нужно вслушиваться в аудио – музычка или подкаст помогают не сойти с ума от бесконечной ленты событий
№3: «Режим детектива» (мой личный кайф)
Этот вид вырастает из второго. Среди потока находится что-то странное: файл или кусок сообщения. И тут начинается мое любимое – я превращаюсь в Шерлока. Ищу зацепки: слежу за временными рамками, смотрю, какие сайты посещались незадолго до алерта, с кем велся диалог, какие файлы открывались параллельно.Самые очевидные вещи лежат на поверхности, а ты их в упор не видишь. Можно, конечно, по тысяче раз все перепроверять, но тогда есть риск упустить уже новые события.
Мой лайфхак: взять листок бумаги и, как в старые добрые, начать выписывать всё, что нашла. Одно дело – держать улики в голове, и совсем другое – видеть их на бумаге, соединять стрелочками и кружочками. Графическое представление помогает выстроить цепочку событий и быстрее придумать, куда копать дальше.
тупо я
P.S. Для самых дотошных: свои «записки сумасшедшего» я храню в шкафчике под ключом, а когда они больше не нужны – кидаю в шредер, которй стоит прямо у моего стола. Конспирация? Нет, проф деформация)
Надеюсь, теперь вы не пойдете по каноничному путь зумера: новая работа → выгорание за три месяца → увольнение → новая работа.
P.S.S А я уж точно, слишком мне нравится нынешний коллектив, а молодая девушка-руководитель тем более. Мы с ней примерно из одного поколения, поэтому говорим на одном языке: она не давит бюрократией, а наоборот, с искренним интересом поддерживает любые мои инициативы, даже самые безумные. Это сильно меняет отношение к работе
Среди радиолюбителей и SDR-энтузиастов самой желанной "игрушкой" является продукция компании Ettus Research (работающей под брендом NI). Их оборудование USRP: Universal Software Radio Peripheral, Универсальное программно-определяемое радиоустройство - представляет собой если не эталон, то близкий к идеалу образец программно-определяемого радио.
Цена у аппарата соответствующая: за самый бюджетный и уже устаревший USRP B200 компания просит $1.420 (~106.500 руб.), а его обновленная версия USRP B206mini-i стоит $1.820 (~136.500 руб.). Вместе с тем, за продвинутые устройства USRP серии Х можно вполне купить квартиру в ближнем Подмосковье - $51.360, что составляет примерно 3.8 миллиона рублей.
Если все-таки имеется желание и, самое главное, возможность приобрести USRP, я бы предложил заказать его напрямую через друзей из-за границы, так как Российские компании-импортеры устанавливают на них маржу в 2-2.5 раза. Самый дешевый ценник, который я нашел: компания из Екатеринбурга готова поставить USRP B200mini-i за 200.000 рублей, а распространенная сеть радиокомплектующих за абсолютно тот же SDR просит 269.300 рублей...
Но если нельзя, но очень хочется, то можно
На помощь нам в очередной раз приходят поднебесные партнеры: они "разработали" и выпустили на рынок SDR-устройство TZT B200-mini-i. Как заявляет производитель:
плата разработки радиочастотного программного обеспечения USRP заменяет Ettus B200Mini/B210, индекс производительности, соответствует импортированной версии, и ее стабильность лучше
Устройство полностью совместимо со всем программным обеспечением для оригинального Ettus USRP и в компьютере определяется соответствующе. Ценник тоже не может не радовать, который на всех доступных нам маркетплейсах стартует от 38 тысяч рублей, что бюджетно по меркам оригинального.
Что касается качества приема/передачи и чистоты сигнала - ничего не могу сказать, так как сам лично руками не "щупал". Интернет и видеохостинги тоже скупы на обзоры: нашел только 1 (одно) видео, в котором автор хвалит новомодное устройство за качество сигнала, а также Wiki AliExpress, в котором обозревают фактически свой же продукт.
В общем, тут на личное усмотрение, готовы ли вы за китайскую копию отдать 40 тысяч рублей. Лично я уже намучился с аналогом HackRF, с его шумами и кривым приемом, поэтому лишний раз не хочу портить себе нервы. В данном случае я бы посоветовал немного поднакопить, и взять оригинал того же LimeSDR или BladeRF.
🧠 Обязательно поделись с теми, кому это может быть полезно 💬 Телеграм | 💬 Max | 📝 Хабр | 💙 ВКонтакте
Вебинар «Киберустойчивость на основе управления данными», практический сценарий
2 июля в 11:00 проведём вебинар о том, как выстроить управляемую и безопасную работу с данными в корпоративной дата-платформе.
Сегодня одних платформ хранения и обработки данных уже недостаточно: без прозрачности, понимания связей между данными, зон ответственности и рисков такие системы становятся одной из ключевых точек киберриска. На вебинаре разберём, как совместное использование Cardinal Platform и Arenadata Data Catalog помогает выстроить дополнительный слой контроля и повысить киберустойчивость дата-ландшафта.
Что обсудим:
✔️ почему платформы работы с данными становятся зоной повышенного риска;
✔️ какую роль играет каталог данных в обеспечении прозрачности, управляемости и безопасности;
✔️ как интеграция Cardinal Platform и Arenadata Data Catalog позволяет видеть, где находятся данные, кто за них отвечает и как они связаны;
✔️ как выстраивать процессы data governance, контроля доступа, аудита и управления чувствительной информацией;
✔️ как учитывать требования ИБ, регуляторов и внутренних политик;
✔️ как повысить киберустойчивость корпоративной дата-платформы.
Практическая часть
Покажем демонстрационный сценарий, в котором Arenadata Data Catalog используется для управления данными и рисками, а Cardinal Platform — для выстраивания контроля, аудита и дополнительного уровня защиты вокруг дата-платформы.
Для кого: руководители ИТ и ИБ, CDO и владельцы данных, архитекторы, команды data governance и специалисты по безопасной эксплуатации данных.
Спикеры: Мария Двоеносова, владелец продукта Innostage Cardinal Platform; Артем Шмарев, руководитель Центра компетенций по управлению данными, Юникон Бизнес Солюшнс; Денис Кириченко, Архитектор решений Arenadata Catalog.
В середине июня команда киберразведки экспертного центра безопасности Positive Technologies обнаружила сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей.
В рамках первой кампании производится угон Telegram‑аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения, который на деле является кодом двухфакторной аутентификации от Telegram‑аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями.
Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK‑файл. На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране. Статус заправки на карте при этом определяется детерминированным алгоритмом на основании ее координат:
Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей.
Рекомендации
• Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства.
• Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉).
• Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему.
В ходе бонусного вебинара команда PVS-Studio представила новый продукт — PVS-Studio Atlas, предназначенный для работы с результатами анализа кода: просмотра, аналитики, разметки и формирования отчётов для сертификационных лабораторий и ФСТЭК.
Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.
Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024
Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".
PVS-Studio — статический анализатор кода для поиска критических и типовых ошибок
Также приглашаю всех познакомиться с нашим статическим анализатором PVS-Studio, который может закрыть не только 10-й процесс ГОСТ Р 56939, но и будет полезен по другим направлениям:
Обучение сотрудников (п.5.2). Формирование у программистов понимание антипаттернов и уязвимых конструкций, что улучшает их техническую экспертизу;
Моделирование угроз и разработка описания поверхности атаки (п.5.7). Дополняет процесс, выявляя потенциальные уязвимости, которые формируют поверхность атаки;
Экспертиза исходного кода (п.5.9). Позволяет усилить проверку стороннего кода, который команда включает в проект. Например, его можно использовать для выбора сторонних библиотек, оценивая качество их кода;
Поиск уязвимостей в программном обеспечении при эксплуатации (п.5.24). Можно просматривать ранее отключённые предупреждения PVS-Studio с целью дополнительного выявления дефектов в коде.
Вышел 8-й номер журнала Paged Out, который включает в себя различные материалы на тему этичного хакинга и информационной безопасности. Издание публикуется в формате: 1 страница — 1 статья. Все остальные Paged Out выпуски можно скачать с сайта проекта.
В вебинаре обсуждается, что на самом деле даёт сертификат и почему он не гарантирует безопасность ПО. Какие программы обязаны проходить проверку, а какие — нет. Чем отличается сертификация от аттестации, и что происходит после получения сертификата. На эти и другие вопросы ответили в бонусном вебинаре цикла с Виталием Вареницей, ведущим специалистом ЗАО "НПО "Эшелон" по сертификации и тестированию на проникновение ПО
Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.
Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024
Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".
НЕкурс про РБПО
Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.