Habr<p>Как мы реализовали SCA при помощи SBOM</p><p>Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.</p><p><a href="https://habr.com/ru/companies/cian/articles/900040/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/cian/art</span><span class="invisible">icles/900040/</span></a></p><p><a href="https://zhub.link/tags/trivy" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>trivy</span></a> <a href="https://zhub.link/tags/cyclonedx" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cyclonedx</span></a> <a href="https://zhub.link/tags/%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D1%8F%D0%BC%D0%B8" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>управление_зависимостями</span></a> <a href="https://zhub.link/tags/sbom" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>sbom</span></a> <a href="https://zhub.link/tags/appsec" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>appsec</span></a> <a href="https://zhub.link/tags/sca" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>sca</span></a> <a href="https://zhub.link/tags/%D1%81%D0%BA%D0%B0%D0%BD%D0%B5%D1%80%D1%8B_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>сканеры_безопасности</span></a> <a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%B0%D1%8F_%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%BA%D0%B0" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>безопасная_разработка</span></a> <a href="https://zhub.link/tags/%D1%81%D0%BA%D0%B0%D0%BD%D0%B5%D1%80%D1%8B_%D1%83%D1%8F%D0%B7%D0%B2%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B5%D0%B9" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>сканеры_уязвимостей</span></a></p>
Recent searches
No recent searches
Search options
Only available when logged in.
mastodon.world is one of the many independent Mastodon servers you can use to participate in the fediverse.
Generic Mastodon server for anyone to use.
Administered by:
Server stats:
8.8Kactive users
mastodon.world: About · Status · Profiles directory · Privacy policy
Mastodon: About · Get the app · Keyboard shortcuts · View source code · v4.3.8
#cdxgen
0 posts · 0 participants · 0 posts today
Habr<p>Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2</p><p>Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM. В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования. Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!</p><p><a href="https://habr.com/ru/companies/swordfish_security/articles/845526/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/swordfis</span><span class="invisible">h_security/articles/845526/</span></a></p><p><a href="https://zhub.link/tags/static_analysis" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>static_analysis</span></a> <a href="https://zhub.link/tags/sca" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>sca</span></a> <a href="https://zhub.link/tags/reachable" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>reachable</span></a> <a href="https://zhub.link/tags/dataflow" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>dataflow</span></a> <a href="https://zhub.link/tags/sbom" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>sbom</span></a> <a href="https://zhub.link/tags/software_composition_analysis" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>software_composition_analysis</span></a> <a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/evinse" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>evinse</span></a> <a href="https://zhub.link/tags/%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>статический_анализ</span></a></p>
Habr<p>Секреты успешного SCA: использование режима evinse в cdxgen. Часть I</p><p>Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!</p><p><a href="https://habr.com/ru/companies/swordfish_security/articles/840922/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/swordfis</span><span class="invisible">h_security/articles/840922/</span></a></p><p><a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/evinse" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>evinse</span></a> <a href="https://zhub.link/tags/SCA" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>SCA</span></a> <a href="https://zhub.link/tags/software_composition_analysis" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>software_composition_analysis</span></a> <a href="https://zhub.link/tags/ast" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>ast</span></a> <a href="https://zhub.link/tags/slice" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>slice</span></a> <a href="https://zhub.link/tags/program_analysis" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>program_analysis</span></a> <a href="https://zhub.link/tags/static_analysis" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>static_analysis</span></a> <a href="https://zhub.link/tags/sbom" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>sbom</span></a> <a href="https://zhub.link/tags/cyclonedx" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cyclonedx</span></a></p>
Habr<p>Инструкция по SCA: генерация SBOM, инструменты, отличия</p><p>Анализ сторонних компонентов ПО становится всё более актуальным в свете увеличения числа уязвимостей в открытом исходном коде. Популярные репозитории содержат более 20 тысяч потенциально опасных пакетов. Сегодня мы поговорим о спецификации SBOM (Software Bill of Material), обсудим, в каких сферах она используется, какими форматами представлена и какое применение находит в информационной безопасности, в частности, в рамках SCA-анализа. Эта статья будет интересна как специалистам ИБ, так и разработчикам, желающим сделать свой продукт безопаснее.</p><p><a href="https://habr.com/ru/companies/swordfish_security/articles/797801/" rel="nofollow noopener noreferrer" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/swordfis</span><span class="invisible">h_security/articles/797801/</span></a></p><p><a href="https://zhub.link/tags/SBOM" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>SBOM</span></a> <a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/trivy" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>trivy</span></a> <a href="https://zhub.link/tags/syft" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>syft</span></a></p>
prabhu<p><span class="h-card"><a href="https://mastodon.social/@karabaic" class="u-url mention" rel="nofollow noopener noreferrer" target="_blank">@<span>karabaic</span></a></span> <span class="h-card"><a href="https://mastodon.social/@suchakra" class="u-url mention" rel="nofollow noopener noreferrer" target="_blank">@<span>suchakra</span></a></span> How about using <a href="https://infosec.exchange/tags/cdxgen" class="mention hashtag" rel="nofollow noopener noreferrer" target="_blank">#<span>cdxgen</span></a> to submit your list of OS software in <span class="h-card"><a href="https://infosec.exchange/@CycloneDX" class="u-url mention" rel="nofollow noopener noreferrer" target="_blank">@<span>CycloneDX</span></a></span> instead of running an agent?</p>
ExploreLive feeds
Mastodon is the best way to keep up with what's happening.
Follow anyone across the fediverse and see it all in chronological order. No algorithms, ads, or clickbait in sight.
Create accountLoginDrag & drop to upload