DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт

Гость: Антон Башарин. Технический директор Swordfish Security, сооснователь платформы , архитектор продукта и ведущий эксперт по его развитию. Содержание выпуска: — Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы. — Цепочки поставок программного обеспечения: что это такое и из чего они состоят. — Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source. — Яркие примеры атак на цепочки поставок ПО. — Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift Left. — Как выглядит работа DevSecOps-специалистов. — Что такое Software Composition Analysis и как он осуществляется. — Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты. — Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту. — Метрики и бенчмарки в DevSecOps. Полезные ссылки: — статья про бэкдор в event-stream — отчет Group IB о Redcurl — блог Swordfish Security на Хабре — YouTube-канал Swordfish Security @swordfishsecurity — Марк Миллер, «Epic Failures in DevSecOps: Volume 1» — Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» Стартовать в программировании вместе со Skillbox: Наш подкаст удобно слушать на популярных платформах: Castbox: «Яндекс.Музыка»: Apple Podcasts: Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!