«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.

«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.

Видео https://www.youtube.com/watch?v=PMh56pvj8wc
Встреча Московского отделения OWASP, 6.12.2019 (https://www.meetup.com/OWASP-Moscow/events/266925142/)

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

December 06, 2019
Tweet

Transcript

  1. Следим за безопасностью сторонних компонент с помощью Dependency Track Проекты

    OWASP Тарас Иващенко, OZON
  2. None
  3. Проблема? • Используем огромное количество сторонних компонент (привет, NPM )

    • Компоненты (библиотеки, фреймворки и программные модули) запускаются с привилегиями приложения • Уязвимости в сторонних компонентах — это уязвимости вашего приложения
  4. Проблема! • OWASP Top10 A9:2017 Использование компонентов с известными уязвимостями

    • Уязвимость в Struts2, позволяющая удаленно выполнить произвольный код на сервере, стала причиной нескольких серьезных взломов, CVE-2017-5638 • Бэкдор в одной из зависимостей библиотеки EventStream, The NPM Blog
  5. Возможные решения • Удалите неиспользуемые зависимости • Регулярно проверяйте актуальность

    версий клиентских и серверных компонентов, а также их зависимостей • Загружайте компоненты из официальных источников по безопасным ссылкам • Следите за библиотеками и компонентами, которые не поддерживаются или не получают обновлений безопасности • Инструментарий: npm audit, Snyk, DependencyTrack, retire.js
  6. OWASP Dependency Track • Continuous Component Analysis Platform • Богатый

    API • Интеграция в CI/CD • Ruby/Gems, Java/Maven, JavaScript/NPM, .NET C#/NuGet, Python/PyPi • Поддержка разных источников данных об уязвимостях • Лицензия Apache 2.0 • dependencytrack.org
  7. OWASP Dependency Track

  8. Вопросы?