Podlodka #448 – Supply Chain Security

Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring. Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам: — LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw — LLM в кибербезопасности https://clc.to/mvLjSA Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
 Telegram-чат: https://t.me/podlodka Telegram-канал: https://t.me/podlodkanews Страница в Facebook: www.facebook.com/podlodkacast/ Twitter-аккаунт: https://twitter.com/PodcastPodlodka Ведущие в выпуске: Евгений Кателла, Егор Толстой Полезные ссылки: Supply-chain Levels for Software Artifacts, or SLSA https://slsa.dev/ Shai-Hulud npm vulnerability https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud Таксономия атак на цепочку поставки ПО https://vkvideo.ru/video-229013285_456239031 AI-Enhanced DevTools & DevOps https://vkvideo.ru/video-22522055_456245659?t=2h34m17s Исследования от Luntry https://luntry.ru/research Исследование уязвимостей GenAI от Veracode https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf О черве Shai-Hulud https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/ Метод-фреймворк защиты цепочки поставки SLSA https://slsa.dev/ Доклад "Таксономия атак на цепочку поставки ПО" https://vkvideo.ru/video-229013285_456239031 Доклад "Безопасная разработка в эпоху GenAI" https://vkvideo.ru/video-229013285_456239040 Другие доклады про безопасность использования Open Source https://youtube.com/@codescoring https://vkvideo.ru/@codescoring Платформа безопасной разработки CodeScoring https://codescoring.ru/ Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО" https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po