In 2024, GitLab developers discovered two critical vulnerabilities in their system. Due to verification errors, attackers could hijack user accounts and modify repository contents. This type of attack is known as RepoJacking.
We conducted a comprehensive analysis of GitHub, another major code hosting platform, and identified 1,300 vulnerable open repositories. What are the implications for developers and their projects? Let’s explore.
В 2024 году большие языковые модели (LLM) кардинально изменили многие сферы, включая кибербезопасность. LLM научились не только помогать в поиске уязвимостей, но и предлагать их исправления. От симуляции атак и анализа уязвимостей до создания правил детектирования — LLM постепенно становятся незаменимым инструментом для разработчиков и специалистов по безопасной разработке.
Я изучаю технологии, которые позволяют снизить когнитивную нагрузку на разработчика и AppSec‑инженера. В частности, исследую технологии AutoFix и фреймворки для их оценки, чтобы адаптировать работающие практики и инструменты для наших задач.
В этой статье разберём, какие инновации принесли LLM в кибербезопасность, выделим инсайты и ключевые технологические ограничения, с которыми будем разбираться в 2025 году.
В начале была проблема. В международной корпорации, где вместе с командой продуктовой безопасности я строил процессы разработки, была нехватка инженеров Application Security. На несколько тысяч разработчиков оказалось всего несколько AppSec-специалистов, и с ростом скорости производства становилось сложнее исправлять обнаруженные дефекты.
First, there was a problem. There was a shortage of application security engineers in the international company where I was working with the product security team to build development processes. With only a few AppSec specialists for thousands of developers, it became increasingly difficult to address identified issues as the pace of production accelerated.
The ‘platform engineering’ trend proposed by analyst agencies has become interesting not only for companies that are transforming their processes, teams, and tools according to new approaches but also for adversaries who use the capabilities of development platforms to launch attacks.
In this article, I’ve compiled a collection of interesting vulnerabilities and compromise methods against users of a major development platform and an overview of current attack methods identified in 2024. Understanding the current threats allows you to understand better the need to improve security practices. The material will be helpful for both developers and information security professionals in protecting their projects.