От SBOM к CBOM: как runtime-контроль зависимостей меняет AppSec в веб-разработке
Middle
Cyber Security
Доклад посвящён концепции Capability BOM (CBOM) — расширенного варианта SBOM, который описывает разрешенные действия каждой из зависимостей приложения. В докладе будут подробно рассмотрены принципы формирования CBOM, методы runtime-контроля библиотек и архитектурные особенности интеграции CBOM в пайплайн. Отдельное внимание будет уделено результатам последних зарубежных исследований, показавших, что подход способен эффективно предотвращать supply chain-атаки. Также будет приведено сравнение CBOM с существующими механизмами и даны практические рекомендации по внедрению метода
• Почему SBOM и SCA не недостаточно
• Концепция CBOM
• Архитектурные подходы к runtime-enforcement CBOM (практический пример NodeShield для Node.js)
• Методика интеграции CBOM в пайплайн GitLab CI + JFrog + SCA/DAST
• Снижение доли supply chain атак (данные зарубежных исследований)
• Сравнение CBOM с классическими методами защиты
• Рекомендации и шаги для внедрения CBOM в существующую инфраструктуру
• Почему SBOM и SCA не недостаточно
• Концепция CBOM
• Архитектурные подходы к runtime-enforcement CBOM (практический пример NodeShield для Node.js)
• Методика интеграции CBOM в пайплайн GitLab CI + JFrog + SCA/DAST
• Снижение доли supply chain атак (данные зарубежных исследований)
• Сравнение CBOM с классическими методами защиты
• Рекомендации и шаги для внедрения CBOM в существующую инфраструктуру
О СПИКЕРЕ
Специалист по защите информации, программист и IoT-энтузиаст с опытом разработки программного обеспечения, автоматизации и администрирования систем. Имею глубокие знания архитектуры ПО, системного и сетевого администрирования, CI/CD-инструментов, контейнерных технологий и облачных решений.
Профессиональный опыт работы в крупных компаниях: Ростелеком-Солар, Контур и К2 Кибербезопасность, где занимался разработкой и внедрением систем защиты информации, DevSecOps-практиками и автоматизацией процессов. В данный момент являюсь старшим системным инженером в К2 Кибербезопасность, где внедряю инструменты статического и динамического анализа безопасности. Пишу статьи на Хабр и научные статьи в ВАК и SCOPUS журналы. Веду авторский телеграм-канал про информационную безопасность и интернет вещей. Учусь в аспирантуре.
Профессиональный опыт работы в крупных компаниях: Ростелеком-Солар, Контур и К2 Кибербезопасность, где занимался разработкой и внедрением систем защиты информации, DevSecOps-практиками и автоматизацией процессов. В данный момент являюсь старшим системным инженером в К2 Кибербезопасность, где внедряю инструменты статического и динамического анализа безопасности. Пишу статьи на Хабр и научные статьи в ВАК и SCOPUS журналы. Веду авторский телеграм-канал про информационную безопасность и интернет вещей. Учусь в аспирантуре.
Максим Князев
К2 Кибербезопасность, Москва
Старший системный инженер
Старший системный инженер
Оставить отзыв о докладе