DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт
Гость:
Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.
Содержание выпуска:
— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.
— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.
— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.
— Яркие примеры атак на цепочки поставок ПО.
— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift Left.
— Как выглядит работа DevSecOps-специалистов.
— Что такое Software Composition Analysis и как он осуществляется.
— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.
— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.
— Метрики и бенчмарки в DevSecOps.
Полезные ссылки:
— статья про бэкдор в event-stream https://habr.com/ru/articles/431360/
— отчет Group IB о Redcurl https://www.facct.ru/resources/resear...
— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfi...
— YouTube-канал Swordfish Security / @swordfishsecurity
— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.amazon.com/Epic-Failures-...
— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.amazon.com/Epic-Failures-...
Стартовать в программировании вместе со Skillbox: https://skillbox.ru/code
Наш подкаст удобно слушать на популярных платформах:
Castbox: https://bit.ly/3tZ3eJF
«Яндекс.Музыка»: https://bit.ly/3FWQsOk
Apple Podcasts: https://apple.co/3KLXpVZ
Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!
![Wordle Best Starting Word Revisited [How to Win More]](https://images.videosashka.com/watch/4FY28GWPddI)