Что такое Open Source Analysis?

Open Source Analysis: зачем нужен и как его проводить В мире современной разработки приложений программное обеспечение с открытым исходным кодом (open source) стало неотъемлемой частью практически любого приложения. Open source библиотеки, фреймворки и компоненты ускоряют разработку, снижают затраты и способствуют инновациям. Но при этом существует серьёзная проблема: каждая зависимость — это не только ускорение разработки, но и дополнительные риски. В этой статье я постараюсь разобрать, что такое анализ открытого исходного кода (Open Source Analysis, или OSA), зачем его необходимо проводить, как он выполняется и как выглядит на практике. Почему же open source — это одновременно благо и риск? По разным исследованиям, от 70 до 90% кода в современных приложениях – это open source компоненты. Обычный сервис может тянуть за собой в проект сотни транзитивных зависимостей, о существовании которых разработчик может иногда даже не подозревать. Примечание: транзитивная зависимость – это косвенная зависимость, пакет или библиотека, на которую ПО зависит косвенно через другую зависимость, это «зависимость от зависимости». И в этом моменте у нас уже появляются проблемы. А именно:

https://habr.com/ru/articles/991996/

#open_source #open_source_software #software_composition_analysis #license

Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2

Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM. В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования. Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!

https://habr.com/ru/companies/swordfish_security/articles/845526/

#static_analysis #sca #reachable #dataflow #sbom #software_composition_analysis #cdxgen #evinse #статический_анализ

Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

https://habr.com/ru/companies/swordfish_security/articles/840922/

#cdxgen #evinse #SCA #software_composition_analysis #ast #slice #program_analysis #static_analysis #sbom #cyclonedx

Безопасность DevOps. Автоматизация и новые инструменты

Цикл популярности понятий из безопасности приложений, 2022 год. Из одноимённого отчёта Gartner . См. также обновление за 2023 год В процессе внедрения системы безопасности в DevOps можно использовать многие инструменты, которые уже применяются в компании. Какие-то будут плотно интегрированы в процесс, а другие использоваться периодически. Кроме старых, внедряются новые инструменты, чтобы устранить пробелы в инструментарии и дополнить возможности для автоматизации. Ключевые инструменты и процессы безопасности показаны на схеме вверху (из доклада Gartner ). Рассмотрим подробнее каждый этап автоматизации и внедрения новых инструментов в существующий рабочий процесс.

https://habr.com/ru/companies/globalsign/articles/782732/

#DevSecOps #оценка_рисков #обучение_сотрудников #внедрение_DevDecOps #модель_угроз #технический_долг #тестирование_безопасности #Software_Composition_Analysis #SCA #Application_Security_Testing #AST #SAST #DAST #IAST #MAST #недетерминированные_тесты #автоматизация #IDPS #безопасность_DevOps