🔥 Управление зависимостями и их уязвимостями

Предлагаем вам аналитический отчет об управлении зависимостями в ПО. 46 страниц расскажут про вызовы и тренды в безопасности цепочек поставок программного обеспечения (SDLC), особенно в контексте использования сторонних компонентов (зависимостей).

Отчет разделен на 4 части: идентификация зависимостей и их уязвимостей, недостатки баз данных уязвимостей, трудности устранения известных уязвимостей и роль анализа состава ПО (SCA) в управлении зависимостями.

Что узнали:

⚪️ Зависимости (особенно OSS) экономят $8.8 трлн, но создают риски
⚪️ Фантомные зависимости (до 60% в Python-проектах) несут до 85% уязвимостей
⚪️ Публичные базы уязвимостей (NVD) задерживают данные на 25 дней, а только 2% содержат детали кода
⚪️ AI/ML-проекты усложняют задачу: разница в отчетах до 10%
⚪️ Reachability analysis снижает работы на 90.5%, а EPSS — шум на 98%

Пользуйтесь и делитесь с коллегами 🫡

@DevOpsKaz 😛