DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт

Люди и код

Контент предоставлен Skillbox Media Code. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Skillbox Media Code или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.

8M ago 50:23

MP3•Главная эпизода

Fetch error

Hmmm there seems to be a problem fetching this series right now. Last successful fetch was on April 23, 2024 11:11 (4d ago)

What now? This series will be checked again in the next day. If you believe it should be working, please verify the publisher's feed link below is valid and includes actual episode links. You can contact support to request the feed be immediately fetched.

Содержание выпуска

— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2
Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95
Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!

111 эпизодов

#Технологии #Бизнес #Skillbox Media Code #Карьера #Высшее Образование #Образование