SCAнируем open source: как безопасно использовать сторонние библиотеки

Больше 70% кода приложений разработчики не пишут сами, а берут из общедоступных библиотек. Поскольку неизвестно, кто писал этот код, то нет уверенности, что в нем отсутствуют уязвимости. При этом широко распространены случаи, когда злоумышленники намеренно внедряют вредоносный код в open-source-компоненты, что приводит к инцидентам ИБ. На вебинаре мы поделились лучшими практиками по анализу безопасности общедоступных библиотек, продемонстрировали их на примере нового модуля SCA в решении Solar appScreener и рассказали, как обеспечить полноценный контроль безопасности разрабатываемого ПО. 00:00 – Вступление 01:35 – Чего стоит опасаться при разработке ПО: уязвимости и не декларируемые возможности 04:44 – Уязвимости: Log4Shell и Spring4Shell 07:57 – Не декларируемые возможности: Node-ipc, Event-source-polyfill, Peacenotwar 9.1.7 10:54 – Какие инструменты выявляют уязвимости в компонентах 11:45 – 6 этапов разработки продукта: практики, методики и инструменты, которые применяются при безопасной разработке 14:25 – Как работает новый модуль SCA в Solar appScreener 18:59 – Как оставить заявку на тестирование Solar appScreener 20:05 – Демонстрация интерфейса Solar appScreener 30:15 – Отвечаем на вопросы