О мастер-классе
Атаки на цепочку поставок становятся причиной проникновения в компанию, которая занимается разработкой продукта. Манипулирование зависимостями в SDLC позволяет злоумышленникам массово получать доступ к рабочим станциям разработчиков, интеллектуальной собственности и дальше распространять вредоносный код.

Мы изучили нетривиальные векторы атак в популярных платформах для разработки и проанализировали структуру зависимостей в пакетных менеджерах. Итогом исследования стало определение масштабов угрозы: более 1000 скомпрометированных репозиториев. 

В мастер-классе на примере реальных кейсов мы рассмотрим эффективные тактики и инструменты атакующих. В результате определим практические меры, позволяющие CISO снизить риски для конвеера разработки. А также рассмотрим, как в этой задаче им помогает и мешает LLM.

План мастер-класса:
1. Введение в проблему: обзор современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
2. Анализ векторов атак: изучение нетривиальных векторов атак на популярные платформы для разработки и анализ структуры зависимостей в пакетных менеджерах.
3. Масштабы угрозы: представление результатов исследования, выявившего более 1000 скомпрометированных репозиториев.
4. Реальные кейсы: рассмотрение эффективных тактик и инструментов атакующих на примере реальных кейсов.
5. Практические меры: определение мер для снижения рисков в конвейере разработки, которые могут быть внедрены в практику CISO.
6. Роль языковых моделей (LLM): обсуждение того, как LLM могут помогать или мешать в задачах обеспечения безопасности разработки.

Что получат участники:
- Понимание современных угроз, связанных с атаками на цепочку поставок и манипуляциями с зависимостями в SDLC.
- Знания о нетривиальных векторах атак и способах их выявления.
- Практические рекомендации по защите конвейера разработки от подобных угроз.
- Опыт использования языковых моделей (LLM) для обеспечения безопасности разработки.