Makrushin

Куда идет рынок безопасности приложений Те, кто следит за развитием AppSec-продуктов и технологий, наверняка прочитают новый отчет. Оставлю ключевые инсайты: * опыт разработчика становится приоритетом для всех AppSec-продуктов. Теперь решениям по безопасности важно интегрироваться со всеми инструментами, которыми пользуется разработчик. * AI SAST — перспективный продукт, вызывающий наибольший интерес рынка в 2026 году. * Проблема, которая становится более актуальной и все еще остается без решения: безопасность кода, сгенерированного с помощью ИИ. * Базовая фича appsec-платформы в 2026 году — проверка уязвимостей в runtime-контексте. Тот самый подход code-to-cloud, о котором я писал пару лет назад, стал базой. * Пользователю неважно, использует ли продукт собственный движок или является оберткой над опенсорс-инструментом. Важно качество правил и возможность их настройки под контекст приложения. * В инструментах анализа зависимостей (SCA) акцент смещается с поиска уязвимостей на поиск малвари. @makrushin l MAX l VK l Telegram

Тренды и развитие угроз в 2026 Свежий отчет по инцидентам от исследовательского подразделения Unit42 пересказывать не буду. В нем все очевидно: скорость атак увеличилась (72 минут на кражу данных в 2025 против 285 минут в 2024 - спасибо ИИ), поверхность атаки не изменилась (браузер, почта) и методы атаки не изменились (эксплойты, фишинг). Но есть одна примечательная деталь: в большинстве инцидентов путь внутрь инфраструктуры жертвы идет через атаки на identity (учетные записи, сессии, токены). С ростом популярности ИИ-агентов этот тренд усиливается за счет всяких “машинных” учеток, которые появляются в инфре в огромном количестве. Тому, кто сейчас размышляет над своим проектом или кибербез-стартапом, стоит посмотреть в сторону защиты machine identity.