home.social

#cdxgen — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #cdxgen, aggregated by home.social.

  1. Сравнение SBOM-генераторов

    Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

    habr.com/ru/companies/swordfis

    #SCA #sbom #trivy #cdxgen #syft #cyclonedx

  2. Сравнение SBOM-генераторов

    Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

    habr.com/ru/companies/swordfis

    #SCA #sbom #trivy #cdxgen #syft #cyclonedx

  3. Сравнение SBOM-генераторов

    Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

    habr.com/ru/companies/swordfis

    #SCA #sbom #trivy #cdxgen #syft #cyclonedx

  4. Сравнение SBOM-генераторов

    Software Bill of Materials (SBOM) становится всё более важным элементом обеспечения безопасности программного обеспечения. С появлением множества инструментов для генерации SBOM, встаёт вопрос — а какой из них выбрать?

    habr.com/ru/companies/swordfis

    #SCA #sbom #trivy #cdxgen #syft #cyclonedx

  5. Как мы реализовали SCA при помощи SBOM

    Чем больше микросервисов в компании, тем веселее жизнь у тех, кто отвечает за безопасность. Количество зависимостей растёт, и в какой-то момент становится нереально уследить, откуда в коде может вылезти критичная уязвимость — будь то старая библиотека или транзитивная зависимость, о которой никто даже не помнит. Решение этого — SCA (Software Composition Analysis) автоматический анализ зависимостей, который помогает вовремя вылавливать уязвимые библиотеки и понимать, что с ними делать. Меня зовут Эрик Шахов, я AppSec-инженер в Циан. В этой статье расскажу, как мы перестроили систему SCA, изменили её архитектуру и какие инструменты теперь используем для контроля зависимостей. Поделюсь реальным опытом внедрения SBOM (Software Bill of Materials) и тем, как он помогает нам держать код в порядке.

    habr.com/ru/companies/cian/art

    #trivy #cyclonedx #управление_зависимостями #sbom #appsec #sca #сканеры_безопасности #cdxgen #безопасная_разработка #сканеры_уязвимостей

  6. Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2

    Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM. В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования. Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!

    habr.com/ru/companies/swordfis

    #static_analysis #sca #reachable #dataflow #sbom #software_composition_analysis #cdxgen #evinse #статический_анализ

  7. Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

    Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

    habr.com/ru/companies/swordfis

    #cdxgen #evinse #SCA #software_composition_analysis #ast #slice #program_analysis #static_analysis #sbom #cyclonedx

  8. Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

    Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

    habr.com/ru/companies/swordfis

    #cdxgen #evinse #SCA #software_composition_analysis #ast #slice #program_analysis #static_analysis #sbom #cyclonedx

  9. Секреты успешного SCA: использование режима evinse в cdxgen. Часть I

    Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!

    habr.com/ru/companies/swordfis

    #cdxgen #evinse #SCA #software_composition_analysis #ast #slice #program_analysis #static_analysis #sbom #cyclonedx

  10. Инструкция по SCA: генерация SBOM, инструменты, отличия

    Анализ сторонних компонентов ПО становится всё более актуальным в свете увеличения числа уязвимостей в открытом исходном коде. Популярные репозитории содержат более 20 тысяч потенциально опасных пакетов. Сегодня мы поговорим о спецификации SBOM (Software Bill of Material), обсудим, в каких сферах она используется, какими форматами представлена и какое применение находит в информационной безопасности, в частности, в рамках SCA-анализа. Эта статья будет интересна как специалистам ИБ, так и разработчикам, желающим сделать свой продукт безопаснее.

    habr.com/ru/companies/swordfis

    #SBOM #cdxgen #trivy #syft