Revertron Habr<p>Какие ваши доказательства? Объясняем разработчику отчёты SCA на пальцах. Часть 2</p><p>Привет, Habr! С вами вновь Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы продолжим наш нелегкий путь в получении Evidence для SBOM. В первой части статьи мы разобрались, что же такое Evidence с точки зрения SBOM. Описали, что представляет собой граф свойств кода, на базе которого происходят все операции нарезки, и рассмотрели срезы использования. Сегодня мы поговорим про срезы достижимости и срезы потоков данных. И, самое главное, разберем, как всё это превращается в расширенный SBOM с вхождениями. Приятного чтения!</p><p><a href="https://habr.com/ru/companies/swordfish_security/articles/845526/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/swordfis</span><span class="invisible">h_security/articles/845526/</span></a></p><p><a href="https://zhub.link/tags/static_analysis" class="mention hashtag" rel="tag">#<span>static_analysis</span></a> <a href="https://zhub.link/tags/sca" class="mention hashtag" rel="tag">#<span>sca</span></a> <a href="https://zhub.link/tags/reachable" class="mention hashtag" rel="tag">#<span>reachable</span></a> <a href="https://zhub.link/tags/dataflow" class="mention hashtag" rel="tag">#<span>dataflow</span></a> <a href="https://zhub.link/tags/sbom" class="mention hashtag" rel="tag">#<span>sbom</span></a> <a href="https://zhub.link/tags/software_composition_analysis" class="mention hashtag" rel="tag">#<span>software_composition_analysis</span></a> <a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="tag">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/evinse" class="mention hashtag" rel="tag">#<span>evinse</span></a> <a href="https://zhub.link/tags/%D1%81%D1%82%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9_%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7" class="mention hashtag" rel="tag">#<span>статический_анализ</span></a></p>
Recent searches
No recent searches
Search options
Only available when logged in.
zhub.link is one of the many independent Mastodon servers you can use to participate in the fediverse.
Administered by:
Server stats:
28active users
zhub.link: About · Profiles directory · Privacy policy
Mastodon: About · Get the app · Keyboard shortcuts · View source code · v4.3.6
#evinse
0 posts · 0 participants · 0 posts today
Habr<p>Секреты успешного SCA: использование режима evinse в cdxgen. Часть I</p><p>Привет, читатели Habr! С вами Анастасия Березовская, инженер по безопасности процессов разработки приложений в Swordfish Security. Сегодня мы расскажем про еще один инструмент, встречающийся в построении процессов Software Composition Analysis (SCA) — сdxgen . Он, как и популярный сканер Trivy, разбирает файлы манифестов, бинарные и другие файлы для извлечения информации о внешних компонентах, используемых в проекте. Кстати, о Trivy мы писали в одной из наших предыдущих статей, заходите почитать . Главным объектом нашего анализа стал новый и очень интересный режим работы cdxgen под названием evinse, представленный авторами в 2023 году. Evinse по исходному коду предоставляет расширенную информацию об evidence — свидетельства присутствия компонента в исходном коде. На момент написания статьи cdxgen является единственной Open Source-утилитой, которая обладает подобной функциональностью. Мы опишем математику, используемую "под капотом", и объясним, почему решили интегрировать результаты работы режима в наших продуктах. Статья получилась достаточно объемной, поэтому мы решили разделить её на две части. В первой мы рассмотрим, что представляет собой объект Evidence с точки зрения SBOM. Опишем базовые математические понятия, которые необходимы для понимания работы утилиты evinse в части построения расширенного SBOM. Здесь же рассмотрим первый вид нарезки использования. Во второй части статьи мы поговорим про остальные виды нарезок — срезы потоков данных и достижимости. Разберем, наконец-то, как из них получается SBOM. Итак, погнали!</p><p><a href="https://habr.com/ru/companies/swordfish_security/articles/840922/" target="_blank" rel="nofollow noopener noreferrer" translate="no"><span class="invisible">https://</span><span class="ellipsis">habr.com/ru/companies/swordfis</span><span class="invisible">h_security/articles/840922/</span></a></p><p><a href="https://zhub.link/tags/cdxgen" class="mention hashtag" rel="tag">#<span>cdxgen</span></a> <a href="https://zhub.link/tags/evinse" class="mention hashtag" rel="tag">#<span>evinse</span></a> <a href="https://zhub.link/tags/SCA" class="mention hashtag" rel="tag">#<span>SCA</span></a> <a href="https://zhub.link/tags/software_composition_analysis" class="mention hashtag" rel="tag">#<span>software_composition_analysis</span></a> <a href="https://zhub.link/tags/ast" class="mention hashtag" rel="tag">#<span>ast</span></a> <a href="https://zhub.link/tags/slice" class="mention hashtag" rel="tag">#<span>slice</span></a> <a href="https://zhub.link/tags/program_analysis" class="mention hashtag" rel="tag">#<span>program_analysis</span></a> <a href="https://zhub.link/tags/static_analysis" class="mention hashtag" rel="tag">#<span>static_analysis</span></a> <a href="https://zhub.link/tags/sbom" class="mention hashtag" rel="tag">#<span>sbom</span></a> <a href="https://zhub.link/tags/cyclonedx" class="mention hashtag" rel="tag">#<span>cyclonedx</span></a></p>
ExploreLive feeds
Mastodon is the best way to keep up with what's happening.
Follow anyone across the fediverse and see it all in chronological order. No algorithms, ads, or clickbait in sight.
Create accountLoginDrag & drop to upload