Blue (h/c)at Café

- Можно сделать безопасные сервисы и чтобы не было утечек?

🟢 DevSecOps+MlSecOps Assessment Framework Давно слежу за одним проектом - DevSecOps Assessment Framework. И вот увидел сегодня что у них появился раздел по MlSecOps Не буду говорить о компании, это не реклама Разбора не будет, первый рабочий день, имейте совесть - зайдите и сами почитайте, но там отображены все нужные проверки, которые стоит провести, может быть только убрать DAST, заменив на процесс постоянного проведения пентестов с использованием средств автоматизации, тк dast-ы, даже захайп...

🎸 Давай-те снова отвлечёмся на музыку Иногда, не от работы, не от новостей и даже не от усталости, а от шума. От постоянного внутреннего диалога, который не выключается. От мира, который всё время что-то требует. Для таких моментов есть песни, которые не спорят, не доказывают и не учат жить. Они просто существуют. И одна из них - Over the Rainbow в исполнении Israel Kamakawiwo'ole (сложно написать на русском) Когда-то давно и даже не помню где, я услышал историю данной песни и не могу не подели...

Пока джуны радуются, что Claude Sonnet 4.5 наконец-то научился центрировать div, AppSec-отдел в 2026 году выглядит именно так. Сидишь такой, пьешь свой латте, а в это время чей-то OpenClaw агент, запущенный в Plan Mode, рекурсивно парсит весь Гитхаб, натыкается на зараженный AGENTS.md в репе «Hello-World-v99» и... поздравляю, у нас RCE на половине дев-машин в компании. 🤡 Короче, тема на поболтать: MoltBook Injection. Нашлись умники, которые в профили своих агентов на MoltBook (ну эта соцсеть дл...

😈 Secret scanning, который наконец-то понимает смысл Я уже писал, как использую zero-shot модель как пост-верификатор для утечек из Confluence/Jira: сначала "шумный сбор", потом "умная фильтрация" SpecterOps в DeepPass2 сделали похожую философию, но гораздо жёстче технически, они вытаскивают пароль как сущность (span extraction), а не классифицируют "секрет/не секрет" и это уже другой уровень Сразу тык на само исследование - ТЫК Их главная идея - большинство secret scanners хорошо ловят структу...

🐞 VK Security Confab 2026 - Bug Bounty Edition Сезон интересных митапов официально открывается, и первая остановочка- VK Security Confab Дата - 19 марта Место - Москва, БЦ SkyLight Если говорить прямо, VK остаётся одним из самых выгодных и интересных баунти-скопов на текущий момент (жаль, мне нельзя участвовать). Большая поверхность, живые продукты, реальные баги и фри спины самые сладкие триажеры 🐈 Такие встречи ценны не докладами (хотя и ими тоже), а людьми и разговорами между ними. Именно н...

🔄 Никто не знает, зачем эта библиотека, но она в проде Есть иллюзия, что безопасность - это про код, который вы написали сами. На практике же большая часть вашего приложения - это чужой код, который вы просто регулярно тянете к себе в прод и надеетесь, что "там всё нормально". Зависимости стареют тихо. Без алертов. Без инцидентов. Пока в какой-то момент не выясняется, что библиотека, которую никто не трогал два года с говницой, тот же shai-hulud И вот тут начинается классическая игра в пинг-пон...

#meme

🎸 Прощай эпоха, длившаяся с 80-х Ну вот и 2026 год. Даже не верится, что каналу уже более 2-х лет, а я помню как по телевизору крутили Эминема, Риану, Леди Гагу по mtv и по утрам мы слушали тот самый "зарубежный чарт". Да, даже я давно не смотрю телевизор, но про конец эпохи нужно рассказать всем, даже тем, кто не застал этого Ну вот вчера пришёл конец целому пласту музыки, ну или того, что убило музыку в понимании 80-х. mtv - тот самый Music Television, который с 1981 года рассказывал миру, чт...