Bezpieczeństwo oprogramowania open source oraz GitHub Advanced Security

3 lutego 2022

W tym roku na Tłusty Czwartek trzeba trochę poczekać, więc aby skrócić sobie ostatnie chwile oczekiwania, możecie wziąć udział w naszym kolejnym wydarzeniu. Widzimy się w ostatnią środę lutego, czyli w wigilię święta pączków i faworków 🙂

SecOps Polska Online MeetUp #26 odbędzie się 23 lutego o godz. 17:00, a transmisja będzie prowadzona na naszym kanale na YouTube, na fanpage’u na Facebooku oraz na LinkedInie. Mamy nadzieję, że będziecie wtedy razem z nami!

Nasz pierwszy prelegent – Jarosław Stakuń – opowie o bezpieczeństwie oprogramowania opartego na open source, które jest ostatnio standardem w większości organizacji. Jak sami dobrze wiecie – często poddaje się dyskusji czy oprogramowanie open source jest bardziej bezpieczne niż to rozwijane w modelu kodu zamkniętego. Pewne jest jednak to, że każde z nich zawiera podatności bezpieczeństwa, które po ujawnieniu wymagają wdrożenia poprawek na zainfekowanych systemach. Jarek w trakcie swojego wystąpienia omówi, jak wygląda proces wykrywania i reagowania na podatności bezpieczeństwa w projektach open source, jakie są dostępne narzędzia do ich wykrywania i obrony przed potencjalnymi atakami we własnej infrastrukturze oraz jakie są najlepsze praktyki w zakresie bezpiecznego korzystania z oprogramowania open source. Jako przykład poda podatności log4j2, o których ostatnio zrobiło się głośno po ich ujawnieniu w popularnej bibliotece open source.

Następnie Wiktor Szymański poruszy temat bezpieczeństwa GitHub Advanced Security. Każdy developer powinien pamiętać m.in. o bezpieczeństwie własnego kodu czy też aktualizacji zależności, zwłaszcza, że dbanie o bezpieczeństwo kodu to złożony proces. Czy wiecie jednak, że jeżeli korzystacie z repozytorium GitHub, a Wasz kod znajduje się w publicznym repozytorium, to wiele z tych czynności można bezpłatnie zautomatyzować? Z prezentacji Wiktora dowiecie się również, co pomoże Wam w tych działaniach oraz posłuchacie o mechanizmach z modułu Github Advanced Security, takich jak dependanot, secret scanning czy code scanning z wykorzystaniem codeQL.

Pamiętajcie, że po każdej prelekcji będzie czas na zadawanie pytań w trakcie sesji Q&A!