Татьяна Куцовол — Безопасность supply chain: противостоим опасным зависимостям

Подробнее о конференции SafeCode:
— — Скачать презентацию с сайта SafeCode —
У цепочки поставок (supply chain) большая площадь для атак. К тому же подобные атаки часто обходят традиционные меры безопасности, что затрудняет их обнаружение и предотвращение. Разбираем, что в ответ на эту проблему предлагают нам мировые стандарты SLSA, OWASP SCVS, CIS SSCSG и попытаемся сузить тему до цепочки поставок сторонних зависимостей. Почему ограничиваемся этой темой? Если злоумышленник нацеливается на цепочку поставок, он пойдет по пути наименьшего сопротивления, а open source-компоненты — самое слабое звено в этой системе. Разбираем методы и тактики, которые используют злоумышленники для манипуляций с зависимостями, проанализируем репозитории некоторых компонентов, определяем их состояние и оцениваем степень риска компрометации системы через эти зависимости.