19.09.2022  Летняя школа по информационной безопасности в осеннем Петербурге

13.09.2022  Anti-malware Live. Экспертное мнение специалистов Эшелона на выборах отечественной SIEM-системы

06.09.2022  Отечественные технологии востребованы для обеспечения кибербезопасности: итоги участия ГК «Эшелон» в Международном военно-техническом форуме «АРМИЯ-2022»

05.09.2022  По итогам Международного Форума «Армия-2022» группа компаний «Эшелон» отмечена многочисленными дипломами Минобороны России

26.08.2022  Превью-версии Сканер-ВС 6, KOMRAD Enterprise SIEM 4.3 и eSensor были представлены на «Армии-2022»

25.08.2022  На форуме «Армия-2022» на конференции Восьмого управления ГШ ВС РФ «Вопросы обеспечения информационной безопасности в области обороны» эксперты обсудили новые приоритеты ИБ»!

24.08.2022  Вышел новый пакет экспертиз для KOMRAD Enterprise SIEM для выполнения требований по обеспечению безопасности финансовых операций

24.08.2022  Вопросы безопасности разработки и применения технологий искусственного интеллекта обсудили на форуме «Армия-2022»

23.08.2022  ГК «Эшелон» представила на форуме «Армия-2022» новую версию средства анализа безопасности кода – «АК-ВС 3»

22.08.2022  Инновационное взаимодействие ведущих кафедр передовых вузов и индустриальных партнеров по информационной безопасности и кибербезопасности!

01.08.2022

Закладки, уязвимости и недекларированные возможности программ – что хуже и как с этим бороться?


На YouTube-канале «Global Digital Space» опубликована запись трансляции, посвященная теме борьбы с внедрением закладок в исходном коде публичных репозиториев.

В дискуссии приняли участие: Дмитрий Гадарь («Тинькофф Банк»), Рустэм Хайретдинов (BI.ZONE), а от компании «Эшелон» - заместитель генерального директора Виталий Вареница. Модератором встречи выступил известный блогер по проблемам информационной безопасности Алексей Лукацкий.

Основные вопросы дискуссии.

  1. В чем разница между закладкой, уязвимостью и недекларированной возможностью (НДВ)? Эксперты сошлись на том, что четкую границу между данными понятиями не имеет смысла проводить.

  2. Где граница между доверием разработчикам и паранойей поиска закладок? Доверие участники посчитали непозволительной роскошью.

  3. Можно ли отслеживать наличие закладок в публичных репозиториях? Эксперты предложили использовать фреймворк SLSA (Supply chain Levels for Software Artifacts), проводить статический и динамический анализ кода (SAST, DAST), а также code review.

  4. Как все-таки действовать в процессе CI/CD при выявлении закладок и вредоносов в опенсорсе? Переходить на предыдущую версию, создавать свою версию программного пакета с устраненной проблемой – такие варианты были выбраны экспертами.

  5. Кто отвечает за вопрос безопасной разработки – разработчики или внешняя часть в безопасности? Безопасность – дело каждого… разработчика, специалиста по безопасности и контролера.

С более подробной расшифровкой самых горячих вопросов состоявшейся дискуссии можно ознакомиться в нашем корпоративном блоге.


Возврат к списку