Алексей Смирнов: Не проверив Open Source “под капотом” продукта, нельзя утверждать, что он безопасен
В последнее время всё чаще стали говорить о безопасности проектов с открытым кодом. Это обсуждалось и в эфире AM Live во время дискуссии «Российский DevSecOps в условиях импортозамещения». Однако эфира нам показалось мало, и мы захотели более развёрнуто пообщаться с одним из его участников, Алексеем Смирновым, основателем компании Profiscope.
ГЛАВНЫЕ ТЕМЫ
28.12.2022
Алексей Смирнов: Не проверив Open Source “под капотом” продукта, нельзя утверждать, что он безопасен
В последнее время всё чаще стали говорить о безопасности проектов с открытым кодом. Это обсуждалось и в эфире AM Live во время дискуссии «Российский DevSecOps в условиях импортозамещения». Однако эфира нам показалось мало, и мы захотели более развёрнуто пообщаться с одним из его участников, Алексеем Смирновым, основателем компании Profiscope.
В наши дни все больше элементов общественной инфраструктуры используют современные решения, основанные на компьютеризированных информационных системах. В то же время львиная доля программных компонентов, из которых они состоят, происходит из проектов с открытым кодом, зачастую не имеющих должной организации процесса разработки и тестирования. Отсутствие ответственности за надежность компонента приводит к нарушению цепочки доверия ко всем составляющим и продукту в целом. Внедрение в компании процессов безопасной разработки SDL поможет избежать подобной проблемы. Давайте разберемся, какие тренды и организационные моменты необходимо учесть, какие инструменты использовать, чтобы добиться цели.
Для любой организации, использующей программное обеспечение с открытым исходным кодом, анализ состава ПО является обязательной частью выявления угроз безопасности. Поэтому компаниям важно использовать инструменты SCA (Software Composition Analysis) в процессе разработки, а также понимать их основные ограничения.
По результатам конкурсного отбора проектов по разработке российских решений в сфере информационных технологий Российского фонда развития информационных технологий (РФРИТ) решение sPACE компании Вэб Контрол ДК вошло в число 43 перспективных отечественных разработок в сфере ИТ, получивших поддержку развития в виде государственного гранта.
Компания Web Control искренне поздравляет вас с Новым годом!
читать дальше
Системы управления доступом привилегированных пользователей (Privileged Access Management, PAM) обеспечивают безопасность подключения и работы с целевыми системами применительно к сотрудникам и внешним подрядчикам с расширенным набором прав. PAM дают возможность не только защитить соединение, но и осуществлять его мониторинг.
PAM-система для организации и обеспечения безопасного и контролируемого доступа привилегированных пользователей к критическим ИТ-ресурсам компании.
По мнению аналитиков Gartner, в 2022 году PAM-решения с основным функционалом по-прежнему остаются важными инструментами безопасности, при этом изменение спроса на рынке привнесло новый акцент на облако, от SaaS-доставки инструментов PAM до поддержки обеспечения безопасности облака, включая управление секретами и CIEM (Cloud infrastructure entitlement management). Аналитические документы Gartner позволяют быть в курсе актуальных трендов отрасли. И даже несмотря на отсутствие на отечественном рынке большинства решений, исследуемых Gartner, выявленные тенденции актуальны и для России.
С 1 ноября в России стартовал эксперимент по предоставлению права использования программ на условиях открытой лицензии и созданию условий для применения открытого ПО (Open Source). Ранее правительство РФ приняло соответствующее постановление. Документ, в частности, предусматривает создание национального репозитория ПО с открытым кодом и размещение в нем софта, созданного в том числе за бюджетные средства, для переиспользования в других проектах. RSpectr собрал мнения представителей IT-отрасли об эксперименте и о том, как привлечь команды разработчиков в российский репозиторий.
Разработка ПО - это аналог промышленной сборки, где используются компоненты от различных поставщиков, которые как подконтрольны производителю, так и нет, как, например, при использовании open source.
Почему в России такой огромный дефицит IT-кадров
Российские разработчики в ближайшей перспективе предложат рынку полноценную экосистему продуктов DevSecOps. Она придет на смену отдельным продуктам, которые решают частные задачи безопасной разработки.
Обзор отчета Gartner «Market Guide for Software Composition Analysis» от компании Web Control
CodeScoring продолжает непрерывно улучшать свое решение и выпускать новые версии с расширенным функционалом.
читать дальше
Компании Вэб Контрол ДК и РЕД СОФТ сообщают об успешном завершении тестовых испытаний на совместимость своих продуктов.