Алексей Смирнов | Эволюция подходов Software Composition Analysis (SCA)

Data Fest Online 2021 Code Mining track Спикер: Алексей Смирнов, Основатель / CodeScoring Организатор трека CodeMining @ Опыт применения инструментов из области композиционного анализа программного обеспечения (Software Composition Analysis, SCA) сравнительно новая для российского рынка тема, несмотря на то, что этой теме уже более 10 лет (как отдельно стоящей). Если коротко, SCA это решения а-ля “Shazam для кода“, которые позволяют рассказать из чего состоит ваш софт, какие Open source компоненты применяются и какие они несут в себе уязвимости (CVE) и проблемы соответствия лицензий (Copyright vs Copyleft, etc.). Чтобы такие решения работали успешно и всё распознавалось корректно, необходимо анализировать великое множество исходных данных, начиная с сотен пакетных индексов, сборок, исходников в системах контроля версий, заканчивая мета-данными об уязвимостях и лицензиях, тикетами, патчами и общими рекомендациями по их применению. К примеру, только в NPM-пакетах содержится более 2 млрд файлов, которые могут быть включены в ваши проекты, а на Gihub более 15 млрд. значимых файлов исходников. В докладе мы рассмотрим существующие подходы в области композиционного анализа и проследим эволюцию методов и акцентов решения задач с момента появления SCA по настоящее время. Таймкоды: 0:00 Интро 0:45 Определение Software Composition Analysis (SCA) и введение в область 6:54 Эволюция данных и систем в OSS 7:20 Краткая история систем контроля версий 09:06 Красткая история систем хостинга кода и профессиональных сообществ 11:57 Краткая история появления систем композиционного анализа (SCA) 15:00 Бесплатные SCA 16:55 Проблематика больших данных в Code Mining или почему нельзя собрать “SCA на коленке“ 22:54 Эволюция подходов поиска заимствований 24:53 Подход Базовый (baseline) 32:02 Подход Оверфит (overfit) 37:02 Подход Гибрид 45:08 Благодарность сообществу Кликхаус разработчиков 45:38 Какие ещё задачи может решать SCA и кому это надо 47:23 Фишки SCA для юристов 49:47 Фишки SCA для архитекторов 53:42 SCA и авторство анализируемых решений 55:09 Flexible SCA 56:28 Интеграция в жизненный цикл разработки программного обеспечения (Software Development Life Cycle, SDLC) 57:53 Заключение Посмотреть эфир и список треков и организаторов: Зарегистрироваться на фест и получить доступ к трекам: Вступить в сообщество: Соцсети Data Fest: