Закладки, уязвимости и недекларированные возможности программ – что хуже и как с этим бороться?

На YouTube-канале «Global Digital Space» опубликована запись трансляции, посвященная теме борьбы с внедрением закладок в исходном коде публичных репозиториев.

В дискуссии приняли участие: Дмитрий Гадарь («Тинькофф Банк»), Рустэм Хайретдинов (BI.ZONE), а от компании «Эшелон» - заместитель генерального директора Виталий Вареница. Модератором встречи выступил известный блогер по проблемам информационной безопасности Алексей Лукацкий.

Основные вопросы дискуссии.

1. В чем разница между закладкой, уязвимостью и недекларированной возможностью (НДВ)? Эксперты сошлись на том, что четкую границу между данными понятиями не имеет смысла проводить.

2. Где граница между доверием разработчикам и паранойей поиска закладок? Доверие участники посчитали непозволительной роскошью.
   

3. Можно ли отслеживать наличие закладок в публичных репозиториях? Эксперты предложили использовать фреймворк SLSA (Supply chain Levels for Software Artifacts), проводить статический и динамический анализ кода (SAST, DAST), а также code review.
   

4. Как все-таки действовать в процессе CI/CD при выявлении закладок и вредоносов в опенсорсе? Переходить на предыдущую версию, создавать свою версию программного пакета с устраненной проблемой – такие варианты были выбраны экспертами.
   

5. Кто отвечает за вопрос безопасной разработки – разработчики или внешняя часть в безопасности? Безопасность – дело каждого… разработчика, специалиста по безопасности и контролера.