Послушал доклад Татьяны Куцовол (ГК «Солар») про безопасность Sup­ply Chain на Safe­Code и сделал небольшой конспект.

❓SCA и Sup­ply Chain — в чём разница?

🔹 Soft­ware Com­po­si­tion Analy­sis (SCA) — выявление и исправление известных уязвимостей (CVE)
🔹 Sup­ply Chain — текущих проблем нет, но в будущем с кодом могут быть проблемы

📔 Стандарты

🔸 SLSA (Sup­ply-chain Lev­els for Soft­ware Arti­facts). 4 уровня. В основном про билды. 🫤
🔸 OWASP SCVS (Soft­ware Com­po­nent Ver­i­fi­ca­tion Stan­dard). 6 кратких контролей. 😒
🔸 CIS SSCSG (Soft­ware Sup­ply Chain Secu­ri­ty Guide). 100 рекомендаций в 5 категориях. 👍

😡 Техники злодеев

🔻 Хактивизм и создание токсичных репозиториев
🔻 Star­jack­ing
🔻 Typosquat­ting
🔻 Depen­den­cy Con­fu­sion
🔻 Become Main­tain­er

📊 Метрики для оценки опенсурсных проектов

➕ Популярность
➕ Авторский состав
➕ Активность сообщества
➕ Заинтересованность в безопасности (есть )
➖ Библиотека создана недавно
➖ Первая версия подозрительно высокая