Artwork

Contenu fourni par Skillbox Media Code. Tout le contenu du podcast, y compris les épisodes, les graphiques et les descriptions de podcast, est téléchargé et fourni directement par Skillbox Media Code ou son partenaire de plateforme de podcast. Si vous pensez que quelqu'un utilise votre œuvre protégée sans votre autorisation, vous pouvez suivre le processus décrit ici https://fr.player.fm/legal.
Player FM - Application Podcast
Mettez-vous hors ligne avec l'application Player FM !

DevSecOps: как защитить цепочки поставок ПО и создать безопасный софт

50:23
 
Partager
 

Manage episode 376302903 series 3315858
Contenu fourni par Skillbox Media Code. Tout le contenu du podcast, y compris les épisodes, les graphiques et les descriptions de podcast, est téléchargé et fourni directement par Skillbox Media Code ou son partenaire de plateforme de podcast. Si vous pensez que quelqu'un utilise votre œuvre protégée sans votre autorisation, vous pouvez suivre le processus décrit ici https://fr.player.fm/legal.
Содержание выпуска

— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2
Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95
Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!

  continue reading

129 episodes

Artwork
iconPartager
 
Manage episode 376302903 series 3315858
Contenu fourni par Skillbox Media Code. Tout le contenu du podcast, y compris les épisodes, les graphiques et les descriptions de podcast, est téléchargé et fourni directement par Skillbox Media Code ou son partenaire de plateforme de podcast. Si vous pensez que quelqu'un utilise votre œuvre protégée sans votre autorisation, vous pouvez suivre le processus décrit ici https://fr.player.fm/legal.
Содержание выпуска

— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2
Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95
Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!

  continue reading

129 episodes

Alle Folgen

×
 
Loading …

Bienvenue sur Lecteur FM!

Lecteur FM recherche sur Internet des podcasts de haute qualité que vous pourrez apprécier dès maintenant. C'est la meilleure application de podcast et fonctionne sur Android, iPhone et le Web. Inscrivez-vous pour synchroniser les abonnements sur tous les appareils.

 

Guide de référence rapide