Содержание выпуска — Что такое DevOps, как и зачем придумали эту методологию, какие инструменты в ней задействованы. — Цепочки поставок программного обеспечения: что это такое и из чего они состоят. — Баги, уязвимости, бэкдоры и другие угрозы, которые несёт Open Source. — Яркие примеры атак на цепочки поставок ПО. — Что такое DevSecOps и какие проблемы «обычного» DevOps он решает. Понятие Shift left. — Как выглядит работа DevSecOps-специалистов. — Что такое software composition analysis и как он осуществляется. — Как самостоятельно проверить безопасность пайплайнов: базовые принципы, SAST, Trivy и другие инструменты. — Что почитать про DevSecOps. Фреймворки и концепции, которые полезно знать специалисту. — Метрики и бенчмарки в DevSecOps. Гость. Антон Башарин. Технический директор Swordfish Security, сооснователь платформы AppSec.Hub, архитектор продукта и ведущий эксперт по его развитию. Общий опыт работы в IT — более 20 лет. Прошёл суровую школу от рядового разработчика до системного архитектора и руководителя команды разработки в Luxoft и EPAM Systems, участвовал в проектах для Boeing, Сбербанка и «Альфа-банка». Полезные ссылки — Статья про бэкдор в event-stream https://habr.com/ru/articles/431360/ — отчет Group IB о Redcurl https://www.facct.ru/resources/research-hub/red-curl/ — блог Swordfish Security на Хабре https://habr.com/ru/companies/swordfish_security/articles/ — YouTube-канал Swordfish Security https://www.youtube.com/@swordfishsecurity — Марк Миллер, «Epic Failures in DevSecOps: Volume 1» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-1 — Марк Миллер, «Epic Failures, Volume 2: Compliments of Sonatype» https://www.sonatype.com/thanks/white-paper-epic-failures-vol-2 Предложить тему, стать гостем подкаста, похвалить или поругать выпуск: [email protected], t.me/antoxa_s95 Стартовать в программировании вместе со Skillbox: skillbox.ru/code Подписывайтесь, ставьте лайки, делитесь с друзьями и оставляйте комментарии!