Sign up to save your podcasts
Or
Share Podlodka #448 – Supply Chain Security
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Podlodka #448 – Supply Chain Security
Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring.
Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам:
— LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw
— LLM в кибербезопасности https://clc.to/mvLjSA
Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Supply-chain Levels for Software Artifacts, or SLSA
https://slsa.dev/
Shai-Hulud npm vulnerability
https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud
Таксономия атак на цепочку поставки ПО
https://vkvideo.ru/video-229013285_456239031
AI-Enhanced DevTools & DevOps
https://vkvideo.ru/video-22522055_456245659?t=2h34m17s
Исследования от Luntry
https://luntry.ru/research
Исследование уязвимостей GenAI от Veracode
https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf
О черве Shai-Hulud
https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/
Метод-фреймворк защиты цепочки поставки SLSA
https://slsa.dev/
Доклад "Таксономия атак на цепочку поставки ПО"
https://vkvideo.ru/video-229013285_456239031
Доклад "Безопасная разработка в эпоху GenAI"
https://vkvideo.ru/video-229013285_456239040
Другие доклады про безопасность использования Open Source
https://youtube.com/@codescoring
https://vkvideo.ru/@codescoring
Платформа безопасной разработки CodeScoring
https://codescoring.ru/
Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО"
https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po
View all episodes
By Егор Толстой, Стас Цыганов, Екатерина Петрова и Евгений Кателла
4.5
4646 ratings
Даже если вы пишете идеальный код, это не значит, что ваш продукт в безопасности. Уязвимости может притащить кто-то другой – начиная от open source библиотек, и заканчивая уязвимостями в компиляторах, CI и VCS системах. Как научиться защищать не только код, вышедший из под ваших рук, но и всю цепочку поставки, нам рассказал Алексей Смирнов, основатель платформы CodeScoring.
Партнёр команды Podlodka — наши давние друзья @AvitoTech. Это команда с крутыми процессами, культурой здравого смысла и эксперимента. Узнать про их технологии, подходы и прокачку компетенций в командах можно по ссылкам:
— LLM против хаоса: как я автоматизировал ревизию прав доступа в админке Авито https://clc.to/RVjkQw
— LLM в кибербезопасности https://clc.to/mvLjSA
Реклама. ООО "Авито Тех”, ИНН 9710089440, erid:2SDnjdq5TKm
Также ждем вас, ваши лайки, репосты и комменты в мессенджерах и соцсетях!
Telegram-чат: https://t.me/podlodka
Telegram-канал: https://t.me/podlodkanews
Страница в Facebook: www.facebook.com/podlodkacast/
Twitter-аккаунт: https://twitter.com/PodcastPodlodka
Ведущие в выпуске:
Евгений Кателла, Егор Толстой
Полезные ссылки:
Supply-chain Levels for Software Artifacts, or SLSA
https://slsa.dev/
Shai-Hulud npm vulnerability
https://www.truesec.com/hub/blog/500-npm-packages-compromised-in-ongoing-supply-chain-attack-shai-hulud
Таксономия атак на цепочку поставки ПО
https://vkvideo.ru/video-229013285_456239031
AI-Enhanced DevTools & DevOps
https://vkvideo.ru/video-22522055_456245659?t=2h34m17s
Исследования от Luntry
https://luntry.ru/research
Исследование уязвимостей GenAI от Veracode
https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf
О черве Shai-Hulud
https://securelist.ru/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/113533/
Метод-фреймворк защиты цепочки поставки SLSA
https://slsa.dev/
Доклад "Таксономия атак на цепочку поставки ПО"
https://vkvideo.ru/video-229013285_456239031
Доклад "Безопасная разработка в эпоху GenAI"
https://vkvideo.ru/video-229013285_456239040
Другие доклады про безопасность использования Open Source
https://youtube.com/@codescoring
https://vkvideo.ru/@codescoring
Платформа безопасной разработки CodeScoring
https://codescoring.ru/
Книга "Прозрачное программное обеспечение: Безопасность цепочек поставок ПО"
https://www.piter.com/product/prozrachnoe-programmnoe-obespechenie-bezopasnost-tsepochek-postavok-po
More shows like Podlodka Podcast
View all
Hobby Talks
73 Listeners
Отвратительные мужики
78 Listeners
Что случилось
361 Listeners
Два по цене одного
94 Listeners
kuji podcast
134 Listeners
Запуск завтра
86 Listeners
Закат империи
209 Listeners
Пробоина
1 Listeners
Экономика на слух
11 Listeners
План Б
17 Listeners
На пенсию в 35 лет!
12 Listeners
Почему мы еще живы
117 Listeners
Горящий бензовоз
36 Listeners
Бреслав и Ложечкин
5 Listeners
Время и деньги
34 Listeners
Конкуренты
35 Listeners