«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.

Transcript

1. Следим за безопасностью сторонних компонент с помощью Dependency Track Проекты

   OWASP Тарас Иващенко, OZON
2. None

3. Проблема? • Используем огромное количество сторонних компонент (привет, NPM )

   • Компоненты (библиотеки, фреймворки и программные модули) запускаются с привилегиями приложения • Уязвимости в сторонних компонентах — это уязвимости вашего приложения

4. Проблема! • OWASP Top10 A9:2017 Использование компонентов с известными уязвимостями

   • Уязвимость в Struts2, позволяющая удаленно выполнить произвольный код на сервере, стала причиной нескольких серьезных взломов, CVE-2017-5638 • Бэкдор в одной из зависимостей библиотеки EventStream, The NPM Blog

5. Возможные решения • Удалите неиспользуемые зависимости • Регулярно проверяйте актуальность

   версий клиентских и серверных компонентов, а также их зависимостей • Загружайте компоненты из официальных источников по безопасным ссылкам • Следите за библиотеками и компонентами, которые не поддерживаются или не получают обновлений безопасности • Инструментарий: npm audit, Snyk, DependencyTrack, retire.js

6. OWASP Dependency Track • Continuous Component Analysis Platform • Богатый

   API • Интеграция в CI/CD • Ruby/Gems, Java/Maven, JavaScript/NPM, .NET C#/NuGet, Python/PyPi • Поддержка разных источников данных об уязвимостях • Лицензия Apache 2.0 • dependencytrack.org

7. OWASP Dependency Track

8. Вопросы?