Закладки, уязвимости и недекларированные возможности программ – что хуже и как с этим бороться?
На YouTube-канале «Global Digital Space» опубликована запись трансляции, посвященная теме борьбы с внедрением закладок в исходном коде публичных репозиториев.
В дискуссии приняли участие: Дмитрий Гадарь («Тинькофф Банк»), Рустэм Хайретдинов (BI.ZONE), а от компании «Эшелон» - заместитель генерального директора Виталий Вареница. Модератором встречи выступил известный блогер по проблемам информационной безопасности Алексей Лукацкий.
Основные вопросы дискуссии.
-
В чем разница между закладкой, уязвимостью и недекларированной возможностью (НДВ)? Эксперты сошлись на том, что четкую границу между данными понятиями не имеет смысла проводить.
-
Где граница между доверием разработчикам и паранойей поиска закладок? Доверие участники посчитали непозволительной роскошью.
-
Можно ли отслеживать наличие закладок в публичных репозиториях? Эксперты предложили использовать фреймворк SLSA (Supply chain Levels for Software Artifacts), проводить статический и динамический анализ кода (SAST, DAST), а также code review.
-
Как все-таки действовать в процессе CI/CD при выявлении закладок и вредоносов в опенсорсе? Переходить на предыдущую версию, создавать свою версию программного пакета с устраненной проблемой – такие варианты были выбраны экспертами.
-
Кто отвечает за вопрос безопасной разработки – разработчики или внешняя часть в безопасности? Безопасность – дело каждого… разработчика, специалиста по безопасности и контролера.