Как вас взламывают через Open Source | DevSecOps и безопасная разработка | Podlodka Podcast #448

Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring. Полезные ссылки: — Supply-chain Levels for Software Artifacts, or SLSA
— Shai-Hulud npm vulnerability
— Таксономия атак на цепочку поставки ПО
— AI-Enhanced DevTools & DevOps
— Исследования от Luntry
— Исследование уязвимостей GenAI от Veracode
— О черве Shai-Hulud
— Метод-фреймворк защиты цепочки поставки SLSA
— Доклад "Таксономия атак на цепочку поставки ПО"
— Доклад "Безопасная разработка в эпоху GenAI"
— Другие доклады про безопасность использования Open Source    / @codescoring  
— Платформа безопасной разработки CodeScoring
— Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО"
❓ Хочешь обсудить выпуск или задать вопрос эксперту? Вступай в наш Telegram-чат:
📰 Не любишь чаты, но хочешь оставаться в курсе дел и прокачивать свой IT кругозор? Подписывайся на наш Telegram-канал: там публикуются анонсы новых выпусков, а в комментах идут ценные и горячие обсуждения! 5 тысяч опытных IT-специалистов уже с нами:
👉Предложить себя в подкаст
Тайм-коды: 00:00 О чем выпуск? 10:19 Что такое уязвимость Шай-хулуд? 26:06 Что такое цепочка поставки? 54:41 На каком уровне встраивается проверка? 01:25:16 Как правильно использовать Open Source зависимость? 01:40:39 Примеры проблем на разных этапах 01:57:15 Как юридически застраховаться от рисков? 02:02:25 Какие проблемы в цепочки поставки принес AI? 02:12:22 Заключение