Безопасность цепочки поставки Open Source-компонентов
Доклад принят в программу конференции
Целевая аудитория
Тезисы
С каждым годом открытого программного обеспечения становится все больше, что не может не радовать. С одной стороны, большое количество качественных проектов в сообществе — это очевидное благо. Но есть и обратная сторона медали: в open source-коде, как и в любом другом, существуют и годами живут уязвимости и ошибки. И если с последними уже научились как-то жить, то с уязвимостями поинтереснее будет.
Яркими примерами уязвимостей последних лет были уязвимости log4shell, spring4shell и иные. К уязвимым компонентам также безусловно относятся и protestware, ярким примером которого является пакет node-ipc. К этому добавляются атаки на Software Supply Chain Management, такие как Dependency Confusion и Typosquatting. Кроме того, :surprise:, не обходится и без человеческого фактора.
В докладе раскрывается роль композиционного анализа ПО (Software Composition Analysis, SCA) в практиках безопасной разработки с примерами проблем и их решениями.
Основатель и руководитель компании Profiscope, специализирующейся на аудите и разработке решений для безопасной разработки программного обеспечения.
* ~20 лет в коммерческой разработке от разработчика до руководителя;
* cпециализация на обработке текстовых данных в контексте анализа исходных кодов;
* с 2008 года преподает Python в СПбГУ;
* с 2019 года организатор трека и конференции CodeMining по анализу исходных кодов и сопутствующих артефактов в сообществе OpenDataScience (ods.ai).
profiscope.io
Видео
Другие доклады секции
Кризис-2022 / Безопасность
