Эксперт Балавнев: взлом GitHub наглядно показывает, что безопасность должна быть системной, а не фрагментарной

Инцидент с GitHub, сообщившим о компрометации около 3800 внутренних репозиториев, стал очередным подтверждением уязвимости цепочек поставок. Причиной взлома послужило вредоносное расширение для VS Code, установленное на рабочем устройстве сотрудника. И хотя в компании заявляют, что данные пользователей не пострадали, последствия могут быть куда масштабнее, чем кажется на первый взгляд, заявил Данил Балавнев, руководитель продукта AppSec.Code компании AppSec Solutions

Этот инцидент напрямую бьет по доверию к экосистеме GitHub и решениям, построенным на его базе. Основной риск — не только сам факт утечки, а возможные последствия: раскрытый код может стать источником уязвимостей, которые будут обнаружены и использованы злоумышленниками. Более того, такие данные редко остаются в одних руках — они перепродаются, что масштабирует угрозу и увеличивает количество потенциальных атак.

В AppSec Code мы изначально исходим из предположения, что безопасность должна быть выстроена системно. Наш подход базируется на использовании открытого open-source решения GitLab, с полной проверкой на безопасность, при этом контур разработки AppSec.Code остается строго изолированным и контролируемым. К тому же, благодаря интеграции инструментов экосистемы AppSecSolution, (OSA, SCA, SAST, DAST) мы обеспечиваем непрерывный цикл проверки безопасности на всех этапах разработки и для клиентов.

Это позволяет выявлять и устранять уязвимости в безопасности до того, как они могут привести к инцидентам и, как следствие, к потере доверия к продукту.