Upgrade to Pro — share decks privately, control downloads, hide ads and more …

«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.

OWASP Moscow
December 06, 2019
Programming
0
450

«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.

Видео https://www.youtube.com/watch?v=PMh56pvj8wc
Встреча Московского отделения OWASP, 6.12.2019 (https://www.meetup.com/OWASP-Moscow/events/266925142/)

OWASP Moscow

December 06, 2019
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
330
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
520
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
770
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
450
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
400
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
460
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
390
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
380
«Свой среди чужих», Антон Лопаницын
owaspmoscow
0
380

Other Decks in Programming

See All in Programming
はてなにおける CSS Modules、及び CSS Modules に足りないもの / CSS Modules in Hatena, and CSS Modules missing parts
mizdra
7
940
サイコロで理解する統計的仮説検定の考え方
tatamiya
4
950
雑に思考を整理する技術と効能
konifar
60
29k
Tailwind CSSを本気でカスタマイズする方法
fsubal
13
5.3k
大規模Reactアプリのリアーキテクチャ~8万行のTanStack Query移行の軌跡~
kj455
4
960
Polars入門
daikikatsuragawa
1
100
1BRC--Nerd Sniping the Java Community
gunnarmorling
0
340
TCAとKMPを用いた新規動画配信アプリ 「ABEMA Live」の設計
tomu28
1
110
Java 22 Overview
kishida
1
180
障害対応を起点としたもっといい開発と運用のサイクル作りのためにできること / Hatena Enginner Seminar #29
polamjag
0
190
PHP8.3の機能を振り返る / Review of PHP 8.3 features
seike460
PRO
1
110
MicrosoftのPlatform Engineeringガイドを読んで実際になにかやってみた
ymd65536
1
340

Featured

See All Featured
Building Applications with DynamoDB
mza
88
5.6k
Product Roadmaps are Hard
iamctodd
44
9.7k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Automating Front-end Workflow
addyosmani
1356
200k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
Facilitating Awesome Meetings
lara
42
5.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Infographics Made Easy
chrislema
238
18k
Done Done
chrislema
178
15k
4 Signs Your Business is Dying
shpigford
175
21k
Building Effective Engineering Teams - LeadDev
addyosmani
28
1.8k

Transcript

  1. Следим за безопасностью сторонних компонент с помощью Dependency Track Проекты

    OWASP Тарас Иващенко, OZON
  2. None

  3. Проблема? • Используем огромное количество сторонних компонент (привет, NPM )

    • Компоненты (библиотеки, фреймворки и программные модули) запускаются с привилегиями приложения • Уязвимости в сторонних компонентах — это уязвимости вашего приложения

  4. Проблема! • OWASP Top10 A9:2017 Использование компонентов с известными уязвимостями

    • Уязвимость в Struts2, позволяющая удаленно выполнить произвольный код на сервере, стала причиной нескольких серьезных взломов, CVE-2017-5638 • Бэкдор в одной из зависимостей библиотеки EventStream, The NPM Blog

  5. Возможные решения • Удалите неиспользуемые зависимости • Регулярно проверяйте актуальность

    версий клиентских и серверных компонентов, а также их зависимостей • Загружайте компоненты из официальных источников по безопасным ссылкам • Следите за библиотеками и компонентами, которые не поддерживаются или не получают обновлений безопасности • Инструментарий: npm audit, Snyk, DependencyTrack, retire.js

  6. OWASP Dependency Track • Continuous Component Analysis Platform • Богатый

    API • Интеграция в CI/CD • Ruby/Gems, Java/Maven, JavaScript/NPM, .NET C#/NuGet, Python/PyPi • Поддержка разных источников данных об уязвимостях • Лицензия Apache 2.0 • dependencytrack.org

  7. OWASP Dependency Track

  8. Вопросы?