Практики безопасной разработки начали массово проникать в жизненный цикл создания продуктов с появлением SDL-фреймворка от Microsoft в 2008 году. С развитием технологий и вызовов времени, вопрос интегрированной безопасности окончательно закрепился в практиках DevSecOps. Защита цепочки поставки ПО является неотъемлемой частью этих процессов и в этой части уже успели сложиться определенные легенды и порочные практики.
На онлайн-конференции CyberCamp MeetUp DevSecOps Алексей Смирнов выступил с докладом "Мифы и факты о цепочке поставки программного обеспечения", перечислив распространенные мнения о защите цепочки поставки и оценив их корректность. В докладе также описаны лучшие практики в отношении каждого из мифов.
Благодаря формату проведения конференции получилось проверить и ещё один миф касающийся применения защиты для прокси-репозиториев (таких как Nexus Repository Manager или JFrog Artifactory).
На онлайн-конференции CyberCamp MeetUp DevSecOps Алексей Смирнов выступил с докладом "Мифы и факты о цепочке поставки программного обеспечения", перечислив распространенные мнения о защите цепочки поставки и оценив их корректность. В докладе также описаны лучшие практики в отношении каждого из мифов.
Благодаря формату проведения конференции получилось проверить и ещё один миф касающийся применения защиты для прокси-репозиториев (таких как Nexus Repository Manager или JFrog Artifactory).
Разрушаем мифы онлайн
Слушателям в эфире был задан вопрос: "Уверены ли вы, что все ваши зависимости проходят через прокси-репозиторий (при его наличии)?". Результаты опроса показали, что только 26% респондентов полностью уверены в прохождении всех компонентов через прокси-репозиторий. При этом другие 26% ответили отрицательно и еще 47% сильно в этом сомневаются.
Результаты показывают, что эшелонированная защита прокси-репозиториев является необходимой, но недостаточной мерой контроля полноты компонентной базы разработки. Используемые компоненты могут попасть в сборочный конвейер альтернативными путями. Замкнуть круг проверки здесь поможет применение композиционного анализа (Software Composition Analysis, SCA), которая точно знает из каких компонентов состоит продукт и позволяет применять политики безопасности на всех этапах проверки выпускаемых продуктов (исходные коды, сборка, контейнер).
Результаты показывают, что эшелонированная защита прокси-репозиториев является необходимой, но недостаточной мерой контроля полноты компонентной базы разработки. Используемые компоненты могут попасть в сборочный конвейер альтернативными путями. Замкнуть круг проверки здесь поможет применение композиционного анализа (Software Composition Analysis, SCA), которая точно знает из каких компонентов состоит продукт и позволяет применять политики безопасности на всех этапах проверки выпускаемых продуктов (исходные коды, сборка, контейнер).
Тезисы доклада
- Нужно ли ради безопасности цепочки поставки остановить все обновления и "спрятать голову в песок"?
- Стоит ли опасаться protestware больше, чем других угроз безопасности?
- Является ли постоянное обновление на последнии версии полностью безопасным?
- Нужно ли устранять все найденные уязвимости?
- Находятся ли опасные уязвимости только в директивных зависимостях?
