Конференция завершена. Ждем вас на HighLoad++ Foundation в следующий раз!

Безопасность цепочки поставки Open Source-компонентов

Безопасность

Доклад принят в программу конференции

Тезисы

С каждым годом открытого программного обеспечения становится все больше, что не может не радовать. С одной стороны, большое количество качественных проектов в сообществе — это очевидное благо. Но есть и обратная сторона медали: в open source-коде, как и в любом другом, существуют и годами живут уязвимости и ошибки. И если с последними уже научились как-то жить, то с уязвимостями поинтереснее будет.

Яркими примерами уязвимостей последних лет были уязвимости log4shell, spring4shell и иные. К уязвимым компонентам также безусловно относятся и protestware, ярким примером которого является пакет node-ipc. К этому добавляются атаки на Software Supply Chain Management, такие как Dependency Confusion и Typosquatting. Кроме того, :surprise:, не обходится и без человеческого фактора.

В докладе раскрывается роль композиционного анализа ПО (Software Composition Analysis, SCA) в практиках безопасной разработки с примерами проблем и их решениями.

Основатель и руководитель компании Profiscope, специализирующейся на аудите и разработке решений для безопасной разработки программного обеспечения.

* ~20 лет в коммерческой разработке от разработчика до руководителя;
* cпециализация на обработке текстовых данных в контексте анализа исходных кодов;
* с 2008 года преподает Python в СПбГУ;
* с 2019 года организатор трека и конференции CodeMining по анализу исходных кодов и сопутствующих артефактов в сообществе OpenDataScience (ods.ai).

Видео