[Из песочницы] DevSecOps: принципы работы и сравнение SCA. Часть первая

Значимость анализа сторонних компонентов ПО (англ. Software Composition Analysis — SCA) в процессе разработки растет по мере выхода ежегодных отчетов об уязвимостях open source библиотек, которые публикуются компаниями Synopsys, Sonatype, Snyk, White Source. Согласно отчету The State of Open Source Security Vulnerabilities 2020 число выявленных уязвимостей в open source в 2019 выросло почти в 1.5 раза в сравнении с предыдущим годом, в то время как компоненты с открытым кодом используются от 60% до 80% проектов. Если обратиться к независимому мнению, то процессы SCA являются отдельной практикой OWASP SAMM и BSIMM в качестве показателя зрелости, а в первой половине 2020 года OWASP выпустила новый стандарт OWASP Software Component Verification Standard (SCVS), предоставляющий лучшие практики по проверке сторонних компонент в цепочке поставок ПО. Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• OSINT для ленивых. Часть 8: GEOINT по фото за 3 минуты
• MarketingNews: Кейс: «Призы от всего атомного сердца». как «Пятёрочка» создала фиджитал-вселенную с Atomic Heart и переосмыслила механику промоакций
• Как я собрал себе C2 на малинке за один вечер
• Краткая история биометрии: как была изобретена идентификация по радужке глаза
• Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений
• Хак сортировки новостей по цифровому коду (Плагин для DLE 13-19.1)
• Путаница в уязвимостях WSUS: ставим все на свои места
• Хостеры против VPN: что на самом деле скрывают поправки “Антифрод 2.0”
• Как я чуть не потерял свои скрипты из-за того, что РКН и Telegram не поделили IP-адреса
• Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера