В начале была проблема. В международной корпорации, где вместе с командой продуктовой безопасности я строил процессы разработки, была нехватка инженеров Application Security. На несколько тысяч разработчиков оказалось всего несколько AppSec-специалистов, и с ростом скорости производства становилось сложнее исправлять обнаруженные дефекты.
First, there was a problem. There was a shortage of application security engineers in the international company where I was working with the product security team to build development processes. With only a few AppSec specialists for thousands of developers, it became increasingly difficult to address identified issues as the pace of production accelerated.
The ‘platform engineering’ trend proposed by analyst agencies has become interesting not only for companies that are transforming their processes, teams, and tools according to new approaches but also for adversaries who use the capabilities of development platforms to launch attacks.
In this article, I’ve compiled a collection of interesting vulnerabilities and compromise methods against users of a major development platform and an overview of current attack methods identified in 2024. Understanding the current threats allows you to understand better the need to improve security practices. The material will be helpful for both developers and information security professionals in protecting their projects.
Тренд ‘Platform Engineering’, предложенный аналитическими агентствами, стал интересен не только компаниям, которые трансформируют свои процессы, команды и инструменты согласно новым подходам. Этот тренд также интересует и злоумышленников, которые используют возможности платформ разработки для проведения атак.
В этой статье я собрал коллекцию интересных уязвимостей и методов атак на пользователей крупной платформы разработки, обзор актуальных методов атак, выявленных в 2024 году. Понимание актуальных угроз позволяет лучше разобраться в необходимости улучшения практик безопасности в такой платформе на примере GitHub. Материал будет полезен как разработчикам, так и специалистам по информационной безопасности для защиты своих проектов.
Last week we witnessed a milestone for the FinDevSecOps community: our first DevSecOps hackathon. It was a powerful step forward in reshaping the way we approach secure software development for FinTech.