Компьютерные игры — это обычное программное обеспечение. Однако с защитой в них не все так гладко.
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи
Информационная служба Хабра обсудила с Владимиром Кочетковым некоторые проблемы игровой индустрии и геймдева.
В статье вы узнаете:
🔹Возможны ли взлом и кража данных через онлайн-игры, если не считать социальную инженерию?
🔹Помогает ли технология NFT избежать кражи аккаунтов в онлайн-играх?
🔹Существуют ли белые хакеры, которые взламывают игры и потом рассказывают компаниям об этих уязвимостях?
🌐 Подробнее читайте в нашем материале
#статьи
🔥6👍2
🔊 Код приложения на PHP для проверки SAST-анализатора
🔹 Как определить, насколько ваш анализатор хорош?
🔹 Как сравнить его с конкурентными решениями на рынке?
🔹 Как доказать эффективность, качество алгоритмов и подходов одного SAST-инструмента перед другим?
🚀 Для ответа на эти вопросы наша команда подготовила код на языке PHP, спешим поделиться наработками!
🔎 Приложение не призвано показать качество покрытия технологий и типов уязвимостей, но должно продемонстрировать логику работы анализатора.
❗️Важно! Это приложение не стоит рассматривать, как замену OWASP Benchmark, а скорее как дополнение, ещё один способ для сравнения.
🔹Код состоит из набора файлов, названия которых соответствуют типам проверок. Внутри есть комментарии, которые помогут понять суть происходящего в коде и ожидаемые результаты.
📞 Будем рады обратной связи, пожеланиям и замечаниям.
🔹 Как определить, насколько ваш анализатор хорош?
🔹 Как сравнить его с конкурентными решениями на рынке?
🔹 Как доказать эффективность, качество алгоритмов и подходов одного SAST-инструмента перед другим?
🚀 Для ответа на эти вопросы наша команда подготовила код на языке PHP, спешим поделиться наработками!
🔎 Приложение не призвано показать качество покрытия технологий и типов уязвимостей, но должно продемонстрировать логику работы анализатора.
❗️Важно! Это приложение не стоит рассматривать, как замену OWASP Benchmark, а скорее как дополнение, ещё один способ для сравнения.
🔹Код состоит из набора файлов, названия которых соответствуют типам проверок. Внутри есть комментарии, которые помогут понять суть происходящего в коде и ожидаемые результаты.
📞 Будем рады обратной связи, пожеланиям и замечаниям.
GitHub
GitHub - POSIdev-community/IAMeter_PHP
Contribute to POSIdev-community/IAMeter_PHP development by creating an account on GitHub.
🔥7👍2
📌 В рамках эфира AntiMalware Российский DevSecOps в условиях импортозамещения проводился #опрос участников.
📊 Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:
▪️«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.
▪️Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.
▪️Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.
▪️На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка».
📊 Результаты вопроса "С какого элемента безопасности стоит начать внедрение DevSecOps" комментирует Антон Володченко:
▪️«Сразу скажу, что все аспекты безопасности важны и нужны, но команды и компании, подходящие к обеспечению безопасности, задаются вопросом: "А с чего начать?". И тут нужно делать выбор, что брать в первую очередь.
▪️Как показывает опрос и наш опыт, хорошее решение начинать со статического анализа (SAST), так как и разработка сама начинается с написания кода. Исправлять проблемы безопасности, как и функциональные баги, дешевле и проще на ранних этапах разработки, поэтому мы согласны с выбором большинства ответивших.
▪️Вторым результатом идёт SCA, который часто встраивается рядом с SAST в рамках проверок кода и сборок. Инструментов для SCA довольно много и коммерческих, и бесплатных, результаты такого анализа обычно более понятны для разработчиков и девопсов, поэтому и внедрение оказывается проще.
▪️На третьем месте использование WAF. Тут тоже есть своя логика, так как использование WAF позволяет закрыть дыры без необходимости исправления самого приложения, которое может быть невозможным или слишком затратным. Например, когда есть «легаси код», старые модули или просто подрядная разработка».
YouTube
Российский DevSecOps в условиях импортозамещения
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 25 октября 2022 года и посвящённой процессу непрерывной безопасной разработки приложений (DevSecOps) в России в условиях новой реальности.
0:00 – Приветствие Льва…
0:00 – Приветствие Льва…
🔥5
Forwarded from Positive Technologies
🕵️♀️ Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить анализ безопасности исходного кода.
• Как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике?
• Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?
• Как на требования к безопасности кода повлияли события 2022 года?
• Как провести проверку безопасности архитектуры и логики разработанного программного обеспечения?
🎙 Эти и другие вопросы 9 ноября в 11:00 обсудят эксперты в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на бесплатный вебинар можно на сайте.
#PositiveЭксперты
• Как выбрать наиболее подходящие средства анализа исходного кода и правильно применять их на практике?
• Какие риски для организаций несет недостаточное внимание к безопасности исходного кода?
• Как на требования к безопасности кода повлияли события 2022 года?
• Как провести проверку безопасности архитектуры и логики разработанного программного обеспечения?
🎙 Эти и другие вопросы 9 ноября в 11:00 обсудят эксперты в онлайн-эфире AM Live. Среди участников — Денис Кораблев, управляющий директор, директор по продуктам Positive Technologies.
🔗 Зарегистрироваться на бесплатный вебинар можно на сайте.
#PositiveЭксперты
👍1
Forwarded from Positive Technologies
До HighLoad++ 2022 осталось меньше недели! Наши эксперты выступят с докладами о важности обеспечения безопасности программного обеспечения.
2️⃣ 4️⃣ ноября
🔸10:00. «Как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки — показываем на примере ПЛК Mitsubishi». Антон Дорфман, ведущий специалист отдела анализа приложений компании.
🔸13:30. «Актуальные угрозы ML-алгоритмов с точки зрения ИБ». Александра Мурзина, руководитель отдела перспективных технологий.
🔸17:00. «Поиск XSS через наложение парсеров». Игорь Сак-Саковский, старший специалист отдела анализа защищенности приложений.
2️⃣ 5️⃣ ноября
🔸12:20. «Безопасность ядра Linux в теории и на практике». Александр Попов, главный исследователь безопасности открытых операционных систем отдела исследований безопасности ОС и аппаратных решений.
🔸«Крах компаний: и причем тут кибербезопасность, спрашивается?». Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center). Время и дата выступления будут известны позднее.
🧑💻 А на стенде наши эксперты поговорят о практике обеспечения безопасности на каждом из этапов жизненного цикла разработки ПО: от проектирования архитектуры продукта и написания кода до эксплуатации под высокой нагрузкой.
Также на нашем стенде можно будет выиграть мерч, сделать тату, раздобыть стикеры и выпить газировки из нашего взломанного советского автомата. Ждем вас! 😉
#PositiveЭксперты
🔸10:00. «Как разобрать сетевой протокол и найти уязвимости в устройстве без использования прошивки — показываем на примере ПЛК Mitsubishi». Антон Дорфман, ведущий специалист отдела анализа приложений компании.
🔸13:30. «Актуальные угрозы ML-алгоритмов с точки зрения ИБ». Александра Мурзина, руководитель отдела перспективных технологий.
🔸17:00. «Поиск XSS через наложение парсеров». Игорь Сак-Саковский, старший специалист отдела анализа защищенности приложений.
🔸12:20. «Безопасность ядра Linux в теории и на практике». Александр Попов, главный исследователь безопасности открытых операционных систем отдела исследований безопасности ОС и аппаратных решений.
🔸«Крах компаний: и причем тут кибербезопасность, спрашивается?». Алексей Новиков, директор экспертного центра безопасности (PT Expert Security Center). Время и дата выступления будут известны позднее.
🧑💻 А на стенде наши эксперты поговорят о практике обеспечения безопасности на каждом из этапов жизненного цикла разработки ПО: от проектирования архитектуры продукта и написания кода до эксплуатации под высокой нагрузкой.
Также на нашем стенде можно будет выиграть мерч, сделать тату, раздобыть стикеры и выпить газировки из нашего взломанного советского автомата. Ждем вас! 😉
#PositiveЭксперты
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍2