«Насколько вы контролируете то, из чего состоит ваш продукт?». Как и зачем проводить Open Source Analysis
Привет! Меня зовут Руслан, я инженер в отделе развития процессов безопасности в YADRO. Сегодня поговорим об открытом исходном коде (open source). В мире современной разработки он используется практически в каждом приложении: open source-библиотеки, фреймворки и компоненты помогают ускорить разработку и сделать ее гораздо более удобной.
Но есть проблема: каждая зависимость — это не только «плюшки», но и дополнительные риски. Если в open source, который вы используете, появится уязвимость, придется срочно ее устранять — и вряд ли на это уйдет пара минут. Еще есть юридические риски — например, автор open source может направить вам запрос на раскрытие той части кода, которую вы модифицировали, а для вас это может оказаться конфиденциальной информацией. В итоге предоставить часть кода вы не сможете, а другая сторона будет иметь полное право обратиться в суд.
Таких рисков как раз и помогает избежать анализ открытого исходного кода (Open Source Analysis, OSA). Давайте разбираться, что это такое и как его выполнять.
Читать далееИсточник: Хабрахабр
Похожие новости
- Моделирование угроз для тех, у кого лапки (и ручки)
- Почему GearUP Booster быстрее VPN и как вообще работают подобные игровые бустеры
- Как выстраивать коммуникацию с международной игровой аудиторией: мнение эксперта
- Ransomware: математический аппарат на службе зла. Способы защиты
- Профессиональные блоги как инструмент роста: что читаете вы?
- Медицина под ударом: как предотвратить утечки данных
- HTTPS-перехват на практике
- Трансформер в on-premise AppSec: как мы встроили ML-модель для классификации секретов в продукт без GPU
- [Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок
- Карго-культ аудита