Podlodka #448 – Supply Chain Security
Podlodka Podcast
00:00
Динамическое тестирование и примеры серьёзных уязвимостей
Необходимость динамических тестов на примере Log4Shell и почему важно тестировать приложения как злоумышленник.
Play episode from 01:08:14
Transcript
Transcript
Episode notes
Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring.
Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам:
— LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw
— LLM в кибербезопасности https://clc.to/mvLjSA
Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Supply-chain Levels for Software Artifacts, or SLSA
https://slsa.dev/
Shai-Hulud npm vulnerability
https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud
Таксономия атак на цепочку поставки ПО
https://vkvideo.ru/video-229013285_456239031
AI-Enhanced DevTools & DevOps
https://vkvideo.ru/video-22522055_456245659?t=2h34m17s
Исследования от Luntry
https://luntry.ru/research
Исследование уязвимостей GenAI от Veracode
https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf
О черве Shai-Hulud
https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/
Метод-фреймворк защиты цепочки поставки SLSA
https://slsa.dev/
Доклад "Таксономия атак на цепочку поставки ПО"
https://vkvideo.ru/video-229013285_456239031
Доклад "Безопасная разработка в эпоху GenAI"
https://vkvideo.ru/video-229013285_456239040
Другие доклады про безопасность использования Open Source
https://youtube.com/@codescoring
https://vkvideo.ru/@codescoring
Платформа безопасной разработки CodeScoring
https://codescoring.ru/
Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО"
https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po
The AI-powered Podcast Player
Save insights by tapping your headphones, chat with episodes, discover the best highlights - and more!
