home.social
Sign in Create account

#cdxgen — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #cdxgen, aggregated by home.social.

  1. Habr @[email protected] ·

    Сравнение SBOM-генераторов

    Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

    habr.com/ru/companies/swordfis

    #SCA #sbom #trivy #cdxgen #syft #cyclonedx

    #cyclonedx #syft #cdxgen #trivy #sbom #sca
  2. Habr @[email protected] ·

    Как мы реализовали SCA при помощи SBOM

    Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

    habr.com/ru/companies/cian/art

    #trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca #сканеры_безопасности #cdxgen #безопасная_разработка #сканеры_уязвимостей

    #trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca
  3. Habr @[email protected] ·

    Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2

    Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM. В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования. Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!

    habr.com/ru/companies/swordfis

    #static_analysis #sca #reachable #dataflow #sbom #software_composition_analysis #cdxgen #evinse #статический_анализ

    #статический_анализ #evinse #cdxgen #software_composition_analysis #sbom #dataflow