Зачем нужен анализ компонент с открытым исходным кодом, Или опыт реального внедрения практики SCA (Software Composition Analysis)
Построение процесса безопасной разработки несколько лет назад чаще всего начинали с практики анализа кода. Это и неудивительно, она была одной из самых понятных и простых для внедрения и давала наилучший результат с точки зрения временных и ресурсных затрат, с одной стороны, и покрытия по уязвимостям - с другой. Нужно лишь “скормить” сканеру исходники и получить на выходе уязвимости, - что может быть проще.
Но с недавнего времени все большую популярность и востребованность получает практика анализа компонент с открытым исходным кодом, когда каждая включенная в продукт библиотека проходит проверку на безопасность и наличие в ней публично задекларированных уязвимостей и недекларированных возможностей.
:
Статья: https://www.securitylab.ru/analytics/532545.php
Автор комментария: Юрий Шабалин
- ЦБ сообщил о четырехкратном росте DDoS-атак на российские банки в 2022 году
Эксперты Swordfish Security, которая оказывает услуги в области кибербезопасности, осенью 2022 года прогнозировали, что число кибератак на российские организации в целом вырастет в 2023 году минимум на 50%. […] - Деньги вернут, но поднимут комиссии: как будет работать механизм компенсации похищенных мошенниками средств?
В банковом секторе за рубежом есть примеры, где кража средств с кредитной карты полностью компенсируется банком, а мошенниками занимается уже его служба безопасности, рассказывает технический […] - Раскинули в Сети: мошенники предлагают бесплатный алкоголь в мессенджерах
Не стоит открывать подозрительные ссылки и документы, любая рассылка должна вызывать настороженность и скепсис, тем более если просят ввести данные карты. Если всё же присланный […] - Этичный хакинг: возможен ли он?
В сложившихся политических условиях возросла популярность этичного хакинга. Но работа с иностранными Bug Bounty-площадками в России сегодня затруднена. В связи со всем этим Минцифры планирует […] - Интервью Юрия Шабалина: Что касается интерактива, тут конференции Offzone, нет равных!
Ведущий архитектор Swordfish Security Юрий Шабалин встретился с журналистом Cyber Media накануне конференции Offzone 2022, чтобы рассказать об особенностях формирования программы секции AppSec и приятных […]