Мы не ведём подсчёт количества пакетов с вредоносным кодом. За время работы системы, начиная с 2022 года, мы не выявляли прямых случаев вредоносного кода (малвари) в артефактах, но периодически обнаруживаем небезопасные практики: “попрошайничество” в зависимостях, неоправданный доступ к сети при установке, использование устаревших или уязвимых методов в рантайме, опасная дозагрузка исполняемых файлов или скриптов, наличие подозрительных вызовов api, операции выполняющие код из недоверенных источников и другие паттерны…
Атаки на цепочку поставок нас обошли стороной , в значительной степени это результат нашего «периода охлаждения». Этот «замедленный подход» на практике несколько раз нам помогал.
Для комплексного подхода по минимизации рисков, помимо описанных мер, необходим еще и хорошо выстроенный процесс SCA, который способен не только сигнализировать о новых найденных уязвимостях в библиотеках и других компонентах, но еще и выявлять среди них наличие малварей по информации полученной из различных фидов, публичных источников и др.
Спасибо, все верно. Поправили.
Мы не ведём подсчёт количества пакетов с вредоносным кодом. За время работы системы, начиная с 2022 года, мы не выявляли прямых случаев вредоносного кода (малвари) в артефактах, но периодически обнаруживаем небезопасные практики: “попрошайничество” в зависимостях, неоправданный доступ к сети при установке, использование устаревших или уязвимых методов в рантайме, опасная дозагрузка исполняемых файлов или скриптов, наличие подозрительных вызовов api, операции выполняющие код из недоверенных источников и другие паттерны…
Атаки на цепочку поставок нас обошли стороной , в значительной степени это результат нашего «периода охлаждения». Этот «замедленный подход» на практике несколько раз нам помогал.
Для комплексного подхода по минимизации рисков, помимо описанных мер, необходим еще и хорошо выстроенный процесс SCA, который способен не только сигнализировать о новых найденных уязвимостях в библиотеках и других компонентах, но еще и выявлять среди них наличие малварей по информации полученной из различных фидов, публичных источников и др.