— Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы.

— Цепочки поставок программного обеспечения: что это такое и из чего они состоят.

— Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source.

— Яркие примеры атак на цепочки поставок ПО.

— Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left.

— Как выглядит работа DevSecOps-специалистов.

— Что такое software composition analysis и как он осуществляется.

— Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты.

— Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту.

— Метрики и бенчмарки в DevSecOps.

Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию.

Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка».

Полезные ссылки

— Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/

— отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/

— блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/

— YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity

— Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1

— Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2

Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: code.media@skillbox.ru, t.me/antoxa_s95

Стартовать в программировании вместе со Skillbox: skillbox.ru/code

Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!