03.02.2023  ГК "Эшелон" приглашает на Большой Национальный форум информационной безопасности ИНФОФОРУМ 2023

24.01.2023  Новый релиз KOMRAD Enterprise SIEM 4.3 и новый уровень удобства использования и производительности

09.01.2023  Межсетевые экраны и системы обнаружения вторжений «Рубикон» и «Рубикон-К» получили обновлённые сертификаты соответствия ФСТЭК России

31.12.2022  Уязвимости программного обеспечения в 2022 году

12.12.2022  Флаг «Эшелона» побывал на Северном полюсе

09.12.2022  Эксперты «Эшелона» рассказали владельцам стартапов о системе сертификации ФСТЭК России

17.11.2022  УЦ «Эшелон» приглашает на курсы по подготовке к экзаменам CISSP и CISM

14.11.2022  Специалисты Ростеха прошли обучение по разработке безопасного программного обеспечения согласно требованиям ГОСТ Р 56939!

08.11.2022  В эфире Antimalware Live эксперты обсудят безопасную разработку

07.11.2022  II Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации»

01.08.2022

Закладки, уязвимости и недекларированные возможности программ – что хуже и как с этим бороться?


На YouTube-канале «Global Digital Space» опубликована запись трансляции, посвященная теме борьбы с внедрением закладок в исходном коде публичных репозиториев.

В дискуссии приняли участие: Дмитрий Гадарь («Тинькофф Банк»), Рустэм Хайретдинов (BI.ZONE), а от компании «Эшелон» - заместитель генерального директора Виталий Вареница. Модератором встречи выступил известный блогер по проблемам информационной безопасности Алексей Лукацкий.

Основные вопросы дискуссии.

  1. В чем разница между закладкой, уязвимостью и недекларированной возможностью (НДВ)? Эксперты сошлись на том, что четкую границу между данными понятиями не имеет смысла проводить.

  2. Где граница между доверием разработчикам и паранойей поиска закладок? Доверие участники посчитали непозволительной роскошью.

  3. Можно ли отслеживать наличие закладок в публичных репозиториях? Эксперты предложили использовать фреймворк SLSA (Supply chain Levels for Software Artifacts), проводить статический и динамический анализ кода (SAST, DAST), а также code review.

  4. Как все-таки действовать в процессе CI/CD при выявлении закладок и вредоносов в опенсорсе? Переходить на предыдущую версию, создавать свою версию программного пакета с устраненной проблемой – такие варианты были выбраны экспертами.

  5. Кто отвечает за вопрос безопасной разработки – разработчики или внешняя часть в безопасности? Безопасность – дело каждого… разработчика, специалиста по безопасности и контролера.

С более подробной расшифровкой самых горячих вопросов состоявшейся дискуссии можно ознакомиться в нашем корпоративном блоге.


Возврат к списку