[PiterPy Live] Безопасность цепочек поставки артефактов разработки

Открытого программного обеспечения становится всё больше. Большое количество качественных проектов в сообществе, - это хорошо. Но есть и обратная сторона медали: в open source коде, как и в любом другом, существуют и годами живут уязвимости и ошибки. И если с последними уже научились как-то жить, то с уязвимостями все не так просто. Значимыми примерами уязвимостей были log4shell, spring4shell и иные. К этому добавляются атаки на Software Supply Chain Management, такие как Dependency Confusion и Typosquatting. Ну и конечно не обходится и без человеческого фактора. Исследователи утверждают, что ~50% python-пакетов в каталоге PyPI содержат уязвимости разных уровней. С этим нужно что-то делать. О том, какие методы и средства контроля существуют и как они работают, мы побеседуем с нашими гостями Алексеем Смирновым, основателем решения композиционного анализа CodeScoring и Владимиром Кочетковым, техническим руководителем в Positive Technologies. TG с анонсами других наших встреч: