Автор: Алексей Смирнов · Podlodka Podcast #448

Уводим «Хвост инженера» в сторону безопасности. Этот выпуск Podlodka — о том, как уязвимости приходят в проект через обычные зависимости и наши привычки.

Алексей Смирнов основал CodeScoring — платформу для анализа open source зависимостей. Разбирает то, что обычно выпадает из разговоров о безопасном коде: угрозы, которые приходят не из вашего репозитория.

Уязвимость может прийти из библиотеки, которую вы не трогали три года, из инструмента сборки, из GitHub Actions. Ответственность разработчика распространяется на весь граф зависимостей — не только на то, что вышло из-под его рук.

Кому смотреть: тем, кто подключает зависимости не задумываясь и считает, что безопасность — это про свой код, а не чужой.

Из этого можно взять в работу: посмотри, что происходит с зависимостями, когда меняется мейнтейнер. XZ Utils показал, что именно здесь и нужно смотреть в первую очередь.