(Не)безопасная разработка: как защититься от вредоносных Python-пакетов

Все слышали о процессе безопасной разработки, и многие даже внедрили его в своих организациях. Особое место в этом процессе занимает поиск уязвимостей в коде, но, по нашим наблюдениям, выявлению вредоносного кода во внешних зависимостях сегодня не уделяется должного внимания.

Может показаться, что простая процедура установки внешней зависимости для проекта совершенно безобидна и не несет угрозы для безопасности. Но события последнего года показывают, что доставка вредоносного кода через сторонние зависимости становится все более популярным способом заражения. Злоумышленники используют разнообразные техники, связанные с компрометацией разработчиков, мимикрией под легитимные пакеты, обфускацией. С течением времени эти техники развиваются, становятся более функциональными и незаметными. Теперь для того, чтобы построить полноценную систему защиты от подобных угроз, требуется привлечение специалистов по анализу вредоносного кода.

На вебинаре мы рассмотрим зависимости только для Python. Поговорим о вредоносах и хакерских техниках, с которыми можно столкнуться. Также расскажем про свою систему для проверки Python-пакетов из репозитория PyPI, работающую по модели as a service (каждый может протестировать эту систему в своем пайплайне безопасной разработки).

Вебинар будет полезен разработчикам, специалистам по AppSec, специалистам по анализу вредоносного кода.