Artwork

Контент предоставлен Skillbox Media Code. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Skillbox Media Code или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Player FM - приложение для подкастов
Работайте офлайн с приложением Player FM !

DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт

50:23
 
Поделиться
 

Manage episode 376302903 series 3315858
Контент предоставлен Skillbox Media Code. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Skillbox Media Code или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Содержание выпуска

— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2
Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95
Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!

  continue reading

114 эпизодов

Artwork
iconПоделиться
 
Manage episode 376302903 series 3315858
Контент предоставлен Skillbox Media Code. Весь контент подкастов, включая эпизоды, графику и описания подкастов, загружается и предоставляется непосредственно компанией Skillbox Media Code или ее партнером по платформе подкастов. Если вы считаете, что кто-то использует вашу работу, защищенную авторским правом, без вашего разрешения, вы можете выполнить процедуру, описанную здесь https://ru.player.fm/legal.
Содержание выпуска

— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2
Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95
Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!

  continue reading

114 эпизодов

Все серии

×
 
Loading …

Добро пожаловать в Player FM!

Player FM сканирует Интернет в поисках высококачественных подкастов, чтобы вы могли наслаждаться ими прямо сейчас. Это лучшее приложение для подкастов, которое работает на Android, iPhone и веб-странице. Зарегистрируйтесь, чтобы синхронизировать подписки на разных устройствах.

 

Краткое руководство