Алексей Смирнов Эволюция подходов Software Composition Analysis SCA

Дата: 12.10.2021. Автор: Web Control. Категории: Подкасты и видео по информационной безопасности

Data Fest Online 2021
Code Mining track

Спикер: Алексей Смирнов, Основатель Profiscope.io / CodeScoring
Организатор трека CodeMining @ods.ai

Опыт применения инструментов из области композиционного анализа программного обеспечения (Software Composition Analysis, SCA) сравнительно новая для российского рынка тема, несмотря на то, что этой теме уже более 10 лет (как отдельно стоящей).

Если коротко, SCA это решения а-ля «Shazam для кода», которые позволяют рассказать из чего состоит ваш софт, какие Open source компоненты применяются и какие они несут в себе уязвимости (CVE) и проблемы соответствия лицензий (Copyright vs Copyleft, etc.).

Чтобы такие решения работали успешно и всё распознавалось корректно, необходимо анализировать великое множество исходных данных, начиная с сотен пакетных индексов, сборок, исходников в системах контроля версий, заканчивая мета-данными об уязвимостях и лицензиях, тикетами, патчами и общими рекомендациями по их применению.

К примеру, только в NPM-пакетах содержится более 2 млрд файлов, которые могут быть включены в ваши проекты, а на Gihub более 15 млрд. значимых файлов исходников.

В докладе мы рассмотрим существующие подходы в области композиционного анализа и проследим эволюцию методов и акцентов решения задач с момента появления SCA по настоящее время.

Таймкоды:
0:00 Интро
0:45 Определение Software Composition Analysis (SCA) и введение в область
6:54 Эволюция данных и систем в OSS
7:20 Краткая история систем контроля версий
09:06 Красткая история систем хостинга кода и профессиональных сообществ
11:57 Краткая история появления систем композиционного анализа (SCA)
15:00 Бесплатные SCA
16:55 Проблематика больших данных в Code Mining или почему нельзя собрать «SCA на коленке»
22:54 Эволюция подходов поиска заимствований
24:53 Подход Базовый (baseline)
32:02 Подход Оверфит (overfit)
37:02 Подход Гибрид
45:08 Благодарность сообществу Кликхаус разработчиков
45:38 Какие ещё задачи может решать SCA и кому это надо
47:23 Фишки SCA для юристов
49:47 Фишки SCA для архитекторов
53:42 SCA и авторство анализируемых решений
55:09 Flexible SCA
56:28 Интеграция в жизненный цикл разработки программного обеспечения (Software Development Life Cycle, SDLC)
57:53 Заключение

Web Control

Об авторе Web Control

Компания Web Control – российский дистрибьютор специализированных решений систем управления внутренней безопасностью и оптимизации сетей.
Читать все записи автора Web Control

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *