Таксономия атак на цепочку поставки ПО: тренды и предпосылки новых трендов скачать в хорошем качестве

Таксономия атак на цепочку поставки ПО: тренды и предпосылки новых трендов

Алексей Смирнов, руководитель продукта CodeScoring, выступил на конференции GigaConf, на которой представил классификацию видов атак на цепочку поставки с участием открытых компонентов (Open Source Supply Chain Security) с учетом современных трендов и основных средств защиты. В докладе раскрыты примеры интересных атак, а также текущие тенденции исправления выявленных уязвимостей в открытых компонентах. Секции доклада: 0:08 Введение 7:02 Базовая таксономия атак на цепочку поставки 8:23 Вредоносный пакет 12:11 Путаница в названиях 13:02 Combosquatting 13:36 Altering word order 14:11 Manipulating word separators 14:45 Typesquatting 15:20 Built-in package 15:50 Brandjacking 16:15 Similarity attack 16:55 Namespace omission or change 17:53 AI package hallucination 20:45 Подрыв программного пакета 26:20 Актуальный пример бэкдора: xz 30:48 Мегаграф Open Source и зачем это нужно 32:45 Динамика исправления уязвимостей в открытом сообществе 35:56. Выводы Сайт конференции GigaConf: https://gigaconf.ru/ Узнать о системе композиционного анализа CodeScoring: https://codescoring.ru/ Telegram-канал с новостями CodeScoring: https://t.me/codescoring