BIS Journal: CodeScoring о композиционном анализе как фундаменте безопасной разработки

В BIS Journal вышла статья наших экспертов — основателя CodeScoring Алексея Смирнова и директора по разработке продуктов Романа Лапина. Обширный материал на несколько разворотов посвящён композиционному анализу и его роли в обеспечении безопасности разработки современного программного обеспечения.

В статье авторы рассматривают:

• Технологию композиционного анализа — инвентаризацию сторонних компонентов ПО, выявление известных уязвимостей и определение особенностей лицензирования;
• Стандарты описания компонентов — SPDX, CycloneDX, а также российский проект ГОСТа для Перечня программных компонентов (ППК, он же SBOM);
• Практические аспекты применения SCA — как грамотное донесение информации об уязвимостях на стадии выбора компонента на порядок снижает количество «блокировок» в сборочном конвейере;
• Качество и пользу композиционного анализа — факторы, влияющие на объём возможных ложных срабатываний, и возможности, позволяющие более эффективно проводить SCA.

Прочитать материал можно по ссылке (ищите на страницах 11-16).