Podlodka #448 – Supply Chain Security

8 snips

Oct 27, 2025

В подкасте гостем стал Алексей Смирнов, основатель платформы CodeScoring и эксперт по безопасности цепочек поставок. Он объясняет, как уязвимости могут возникать не только в собственном коде, но и через сторонние библиотеки. Обсуждаются механизмы атаки Shai-Hulud, значимость статического анализа и проверок сторонних зависимостей. Алексей делится методами минимизации рисков с использованием AI и важностью отслеживания уязвимостей. Советы по интеграции безопасных практик в рабочие процессы также не остаются без внимания.

Ask episode

AI Snips

Chapters

Transcript

Episode notes

INSIGHT

Что Такое Цепочка Поставки ПО

Цепочка поставки ПО это набор компонентов, инструментов и процессов от кода до релиза и эксплуатации.
Уязвимости могут появиться на любом этапе — от сторонних библиотек до CI/CD, компилятора и окружения.

ADVICE

Фиксируйте Происхождение Компонентов

Используйте SLSA (Salsa) и SPDX для документирования происхождения и состава артефактов.
Вводите требования по provenance, логам сборки и BOM для отслеживания компонентов.

ADVICE

Ловите Пакеты На Уровне Хранилки

Разверните внутреннюю хранилку артефактов с политиками проверки пакетов и антивирусом.
Интегрируйте ранние проверки в IDE, чтобы разработчик видел проблемы ещё до сборки.

Get the Snipd Podcast app to discover more snips from this episode

Get the app

Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring. Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам: — LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw — LLM в кибербезопасности https://clc.to/mvLjSA Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!  Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodcastPodlodka Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Supply-chain Levels for Software Artifacts, or SLSA https://slsa.dev/ Shai-Hulud npm vulnerability https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud Таксономия атак на цепочку поставки ПО https://vkvideo.ru/video-229013285_456239031 AI-Enhanced DevTools & DevOps https://vkvideo.ru/video-22522055_456245659?t=2h34m17s Исследования от Luntry https://luntry.ru/research Исследование уязвимостей GenAI от Veracode https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf О черве Shai-Hulud https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/ Метод-фреймворк защиты цепочки поставки SLSA https://slsa.dev/ Доклад "Таксономия атак на цепочку поставки ПО" https://vkvideo.ru/video-229013285_456239031 Доклад "Безопасная разработка в эпоху GenAI" https://vkvideo.ru/video-229013285_456239040 Другие доклады про безопасность использования Open Source https://youtube.com/@codescoring https://vkvideo.ru/@codescoring Платформа безопасной разработки CodeScoring https://codescoring.ru/ Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО" https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po