[Из песочницы] DevSecOps: принципы работы и сравнение SCA. Часть первая

Значимость анализа сторонних компонентов ПО (англ. Software Composition Analysis — SCA) в процессе разработки растет по мере выхода ежегодных отчетов об уязвимостях open source библиотек, которые публикуются компаниями Synopsys, Sonatype, Snyk, White Source. Согласно отчету The State of Open Source Security Vulnerabilities 2020 число выявленных уязвимостей в open source в 2019 выросло почти в 1.5 раза в сравнении с предыдущим годом, в то время как компоненты с открытым кодом используются от 60% до 80% проектов. Если обратиться к независимому мнению, то процессы SCA являются отдельной практикой OWASP SAMM и BSIMM в качестве показателя зрелости, а в первой половине 2020 года OWASP выпустила новый стандарт OWASP Software Component Verification Standard (SCVS), предоставляющий лучшие практики по проверке сторонних компонент в цепочке поставок ПО. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Взлом уязвимой операционной системы Vulnix. Уязвимая служба/протокол smtp
• НКО научат создавать качественный контент
• Скрытые языки: как инженеры передают информацию внутри команды, избегая документации
• [Перевод] Пишем на C самоизменяющуюся программу x86_64
• Четыре взлома ИТ-инфраструктуры, один из которых выдуман. Какой?
• Red Digital и хлебцы Kruazett: KRRустящий кейс
• Быстрый старт в маскировании данных PostgreSQL с инструментом pg_anon
• [Перевод] Свой среди чужих: насколько токсична рабочая среда безопасника?
• [Перевод] Обход двухфакторной аутентификации в публичной баг-баунти программе: путь к $6000
• Кратко про XHTTP для VLESS: что, зачем и как