В BIS Journal вышла статья наших экспертов — основателя CodeScoring Алексея Смирнова и директора по разработке продуктов Романа Лапина. Обширный материал на несколько разворотов посвящён композиционному анализу и его роли в обеспечении безопасности разработки современного программного обеспечения.
В статье авторы рассматривают:
Прочитать материал можно по ссылке (ищите на страницах 11-16).
В статье авторы рассматривают:
- Технологию композиционного анализа — инвентаризацию сторонних компонентов ПО, выявление известных уязвимостей и определение особенностей лицензирования;
- Стандарты описания компонентов — SPDX, CycloneDX, а также российский проект ГОСТа для Перечня программных компонентов (ППК, он же SBOM);
- Практические аспекты применения SCA — как грамотное донесение информации об уязвимостях на стадии выбора компонента на порядок снижает количество «блокировок» в сборочном конвейере;
- Качество и пользу композиционного анализа — факторы, влияющие на объём возможных ложных срабатываний, и возможности, позволяющие более эффективно проводить SCA.
Прочитать материал можно по ссылке (ищите на страницах 11-16).
