Безопасная разработка: когда решение дешевле последствий

Безопасность open source и DevSecOps выходят на первый план: атаки на цепочку поставок, вредоносные пакеты в NPM/PyPI и компромисс зависимостей стали новой нормой. Формально «всё собрано из проверенных библиотек», но каждая новая атака показывает: одного доверия к open source и стандартных проверок уже недостаточно. Нужен контроль цепочки поставок, автоматизация анализа уязвимостей и встраивание безопасности в работу разработчиков без замедления релизов.
В этом выпуске обсуждаем, как устроены современные атаки на open source и цепочку поставок, где заканчиваются классические подходы, и как с помощью DevSecOps, SCA и SAST сделать безопасную разработку частью ежедневного процесса.

Гость: Алексей Смирнов, генеральный директор и основатель Codescoring
Ведущий: Илья Шабанов, генеральный директор АМ Медиа

В этом выпуске вы узнаете:
1. Почему атаки на цепочку поставок и open source-зависимости стали массовыми, что показал первый червь в NPM Shai Hulud и откуда берутся тысячи вредоносных пакетов ежемесячно.
2. Как автоматизация анализа уязвимостей, SCA и возможность проверки эксплуатируемости с использованием технологий ИСП РАН на порядок сокращают трудозатраты на анализ.
3. Как реализовать «сдвиг влево» на практике: об использовании плагинов для редакторов кода, которые заранее сообщают о большинстве проблем разработчику для мгновенного исправления.
4. Как эволюционируют инструменты: почему будущее за хранилищами артефактов со встроенной безопасностью, геораспределённостью и прозрачным прокси для проверки зависимостей «на лету».
5. Какие шаги можно сделать уже сейчас: фиксация версий, контроль лицензий (включая экспортные риски) и базовые метрики безопасности для команды.