Безопасная разработка: когда решение дешевле последствий
Безопасность open source и DevSecOps выходят на первый план: атаки на цепочку поставок, вредоносные пакеты в NPM/PyPI и компромисс зависимостей стали новой нормой. Формально «всё собрано из проверенных библиотек», но каждая новая атака показывает: одного доверия к open source и стандартных проверок уже недостаточно. Нужен контроль цепочки поставок, автоматизация анализа уязвимостей и встраивание безопасности в работу разработчиков без замедления релизов. В этом выпуске обсуждаем, как устроены современные атаки на open source и цепочку поставок, где заканчиваются классические подходы, и как с помощью DevSecOps, SCA и SAST сделать безопасную разработку частью ежедневного процесса. Гость: Алексей Смирнов, генеральный директор и основатель Codescoring Ведущий: Илья Шабанов, генеральный директор АМ Медиа В этом выпуске вы узнаете: 1. Почему атаки на цепочку поставок и open source-зависимости стали массовыми, что показал первый червь в NPM Shai Hulud и откуда берутся тысячи вредоносных пакетов ежемесячно. 2. Как автоматизация анализа уязвимостей, SCA и возможность проверки эксплуатируемости с использованием технологий ИСП РАН на порядок сокращают трудозатраты на анализ. 3. Как реализовать «сдвиг влево» на практике: об использовании плагинов для редакторов кода, которые заранее сообщают о большинстве проблем разработчику для мгновенного исправления. 4. Как эволюционируют инструменты: почему будущее за хранилищами артефактов со встроенной безопасностью, геораспределённостью и прозрачным прокси для проверки зависимостей «на лету». 5. Какие шаги можно сделать уже сейчас: фиксация версий, контроль лицензий (включая экспортные риски) и базовые метрики безопасности для команды. Тайм коды: 00:00 — Знакомство и тема 01:09 — Новые атаки на цепочку поставок через open source 04:57 — Автоматизация анализа уязвимостей, SCA и SAST 08:54 — «Сдвиг влево» и DevSecOps в IDE 12:34 — Безопасность и R&D 15:45 — Метрики эффективности 16:52 — Машинное обучение в анализе уязвимостей 18:36 — Будущее инструментов и хранилищ артефактов 22:14 — Практические советы на 2026 год Полезно для: руководителей ИТ и DevOps, архитекторов и тимлидов, специалистов по DevSecOps и AppSec, а также разработчиков, которые хотят встроить безопасность в ежедневную работу через IDE-плагины и автоматизированный анализ зависимостей. Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru
Безопасность open source и DevSecOps выходят на первый план: атаки на цепочку поставок, вредоносные пакеты в NPM/PyPI и компромисс зависимостей стали новой нормой. Формально «всё собрано из проверенных библиотек», но каждая новая атака показывает: одного доверия к open source и стандартных проверок уже недостаточно. Нужен контроль цепочки поставок, автоматизация анализа уязвимостей и встраивание безопасности в работу разработчиков без замедления релизов. В этом выпуске обсуждаем, как устроены современные атаки на open source и цепочку поставок, где заканчиваются классические подходы, и как с помощью DevSecOps, SCA и SAST сделать безопасную разработку частью ежедневного процесса. Гость: Алексей Смирнов, генеральный директор и основатель Codescoring Ведущий: Илья Шабанов, генеральный директор АМ Медиа В этом выпуске вы узнаете: 1. Почему атаки на цепочку поставок и open source-зависимости стали массовыми, что показал первый червь в NPM Shai Hulud и откуда берутся тысячи вредоносных пакетов ежемесячно. 2. Как автоматизация анализа уязвимостей, SCA и возможность проверки эксплуатируемости с использованием технологий ИСП РАН на порядок сокращают трудозатраты на анализ. 3. Как реализовать «сдвиг влево» на практике: об использовании плагинов для редакторов кода, которые заранее сообщают о большинстве проблем разработчику для мгновенного исправления. 4. Как эволюционируют инструменты: почему будущее за хранилищами артефактов со встроенной безопасностью, геораспределённостью и прозрачным прокси для проверки зависимостей «на лету». 5. Какие шаги можно сделать уже сейчас: фиксация версий, контроль лицензий (включая экспортные риски) и базовые метрики безопасности для команды. Тайм коды: 00:00 — Знакомство и тема 01:09 — Новые атаки на цепочку поставок через open source 04:57 — Автоматизация анализа уязвимостей, SCA и SAST 08:54 — «Сдвиг влево» и DevSecOps в IDE 12:34 — Безопасность и R&D 15:45 — Метрики эффективности 16:52 — Машинное обучение в анализе уязвимостей 18:36 — Будущее инструментов и хранилищ артефактов 22:14 — Практические советы на 2026 год Полезно для: руководителей ИТ и DevOps, архитекторов и тимлидов, специалистов по DevSecOps и AppSec, а также разработчиков, которые хотят встроить безопасность в ежедневную работу через IDE-плагины и автоматизированный анализ зависимостей. Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru