Как безопасно использовать опенсорсное ПО?

Директор по безопасности BI.ZONE

• В 2008 году окончил инженерный факультет Череповецкого военного инженерного института радиоэлектроники со специализацией в области радиотехники. 
• С 2012 года Евгений Волошин работал в Генеральной дирекции ОАО «Северсталь» в управлении по защите информации, где вырос с должности специалиста до начальника лаборатории.
• Занимался этичным хакингом, разработкой и реализацией сценариев атак, расследованием инцидентов информационной безопасности. Параллельно работал администратором средств криптографической защиты информации в департаменте обеспечения бизнеса в ОАО «Северсталь-инфоком». 
• В 2016 году присоединился к команде BI.ZONE в должности директора по информационной безопасности. 
• В настоящий момент Евгений также является одним из ключевых спикеров Академии кибербезопасности Сбербанка.

Все чаще мы используем OpenSource-компоненты, а иногда и готовое опенсорсное ПО для решения бизнес-задач.

Почему-то на Руси принято считать, что оно априори защищенное: мол, миллионы энтузиастов со всего мира денно и нощно ковыряют код на наличие уязвимостей и непрестанно вылизывают его.

На самом же деле, как правило, OpenSource — это просто поделка, и далеко не самая редкая причина выкладывания его в сеть — невозможность продать. Мы же встраиваем сырое и зачастую неподдерживаемое в свой прод.

Хотелось бы затронуть тему работы с опенсорсом: когда все-таки работает принцип «если очень хочется, то можно» и какие процессы должны быть построены вокруг имплементации и использования ПО с открытым кодом.

• Проблематика
• Подводные камни source продукта
• Показания к применению opensource продукта
• Показания к применению opensource компонента
• Методология
• Software Composition Analysis
• Задачи, решаемые SCA
• Наш опыт: 4 примера