https://cacm.acm.org/opinion/it-is-time-to-standardize-principles-and-practices-for-software-memory-safety/
Призыв ассоции вычислительной техники (ACM) к более безопасной работе с памятью, с кратким обзором лучших практик и предлагаемой таймлайном по применению этих практик.
Призыв ассоции вычислительной техники (ACM) к более безопасной работе с памятью, с кратким обзором лучших практик и предлагаемой таймлайном по применению этих практик.
NIST выбрал второй квантово устойчивый алгоритм обмена ключами (KEM) - HQC.
https://csrc.nist.gov/pubs/ir/8545/final
https://csrc.nist.gov/pubs/ir/8545/final
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8545, Status Report on the Fourth Round of the NIST Post-Quantum Cryptography Standardization…
NIST is selecting public-key cryptographic algorithms through a public, competition-like process to specify additional digital signature, public-key encryption, and key-establishment algorithms to supplement FIPS 186-5, SP 800-56Ar3, and SP 800-56Br2. These…
👍1
Обновлены стандарты sha3
https://csrc.nist.gov/news/2025/decision-to-update-fips-202-and-revise-sp-800-185
https://csrc.nist.gov/news/2025/decision-to-update-fips-202-and-revise-sp-800-185
CSRC | NIST
Decision to Update FIPS 202 and Revise SP 800-185 | CSRC
After two public comment periods, NIST has decided to update the SHA-3 Standard (FIPS 202) and revise the SHA-3 Derived Functions specification (Special Publication 800-185).
Краткие рекомендации по использованию ИИ в оценке PCI DSS.
Подходят в основном и при любом другом использовании ИИ в аудите.
https://blog.pcisecuritystandards.org/new-guidance-integrating-artificial-intelligence-into-pci-assessments
Подходят в основном и при любом другом использовании ИИ в аудите.
https://blog.pcisecuritystandards.org/new-guidance-integrating-artificial-intelligence-into-pci-assessments
blog.pcisecuritystandards.org
New Guidance: Integrating Artificial Intelligence into PCI Assessments
PCI SSC has released new guidance on integrating artificial intelligence (AI) into PCI assessments. The guidance provides a balance between leveraging AI’s benefits and maintaining the high standards of security that protect payment card data worldwide.
Вышла вторая версия SCA сканера от гугл.
https://security.googleblog.com/2025/03/announcing-osv-scanner-v2-vulnerability.html
https://security.googleblog.com/2025/03/announcing-osv-scanner-v2-vulnerability.html
Google Online Security Blog
Announcing OSV-Scanner V2: Vulnerability scanner and remediation tool for open source
Posted by Rex Pan and Xueqin Cui, Google Open Source Security Team In December 2022, we released the open source OSV-Scanner tool, and ear...
Forwarded from PWN AI (Artyom Semenov)
Pillar недавно выпустили крутой отчёт со статистикой по атакам на Генеративный ИИ.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.
Основной фокус — на практических рисках, с которыми сталкиваются организации при использовании LLM. А сами авторы подчёркивают, что отчёт заполняет пробел в отсутствии такой статистики.
Как можно понять из него - они собирали информацию для отчёта 3 месяца, более чем из 2000 приложений с LLM, а также 500 000 диалогов пользователей из разных отраслей. За основу для отчёта был взят анализ 6 типовых атак (prompt injection, DAN, ascii атаки и т.д).
Результаты, конечно, поражающие:
90% успешных атак привели к утечке конфиденциальных данных
20% попыток jailbreak обошли защитные механизмы решения по безопасности
Среднее время выполнения атаки - 42 секунды, а вот среднее количество запросов, отправленных злоумышленником чтобы атака удалась - 5.
Авторы конечно же сделали прогнозы на то, что угроз будет больше, так как сегодня всё больше организаций начинает использовать RAG и агентов.
PDF - ниже.