31% респондентов игнорируют невидимый риск косвенных зависимостей

В рассылке пришел интересный отчёт - "Состояние безопасности открытого исходного кода в 2023 году".

Ещё раз подтверждает тот факт, что в скриптах нужно проверять не только код, но все зависимости, которые используются.
Этот пункт является обязательным в процессе аудита который мы делаем.

Все таки "lifechange" на кону.

Появилась идея💡
Кто хочет ускорить процесс аудита выбранного вами софта - пишите в ЛС, объясню что нужно делать. 🦾

Что не сделаешь ради безопасности клиента.

Иногда приходится общаться с командой, чтобы подтвердить информацию.

А можно ведь просто обновить официальную документацию.🤷‍♂️

Раз в неделю будем делать аудит небольшого актуального софта. Как идея?

Жду предложения в комментариях.

Просьба, не кидайте скрипты на сотни файлов и десятками контрактов

https://github.com/czbaq/scroll/tree/main❗️❌⛔️

https://github.com/czbag/scroll/tree/main

Одна буква и ваши ключи больше не ваши ключи.

Сегодняшний день ещё раз доказал - софт это рабочий инструмент для крипты, осталось угадать с критериями.

Главное, будьте аккуратнее!

Миллионерам, привет!

Что дальше интересно с этого списка на эту неделю или предложите что-то новенькое? 👇

Появился вопрос - как склонировать именно проверенный commit с гитхаба, какими командами? Если гитхаб с кодом уже обновлялся после проверки?

Уже не раз задавали подобный вопрос.

Отвечаю на примере zksync-Lite с предыдущего поста:

1. Клонируем нужный репозиторий:
git clone https://github.com/Elez-dev/zksync-Lite

2. Переключаемся на нужный коммит:
git checkout d4315610341fefad611d3d648839c350af3975de

ВАЖНО!
Следуем инструкции с README.md именно этого коммита. Проще всего это делать в редакторе VSCode.

Скоро исполнится 3 месяца с момента запуска CodeSpec!
За это время получилось собрать базу данных аудитов и привлечь клиентов. Это является небольшим, но значимым достижением для нашего сервиса, учитывая, что безопасность часто остается недооцененной многими пользователями.

Что дальше? Мы намерены продолжать приносить пользу и продвигать понимание важности безопасности среди наших пользователей. Будем стараться, чтобы с каждым месяцем CodeSpec приносил ещё больше пользы для безопасности вашего крипто бизнеса. Поэтому настало время обдумать, как мы можем продолжить нашу работу так, чтобы это было выгодно и удобно для всех.

Одной из идей является предоставление месячной подписки с доступом к уже существующим и будущим аудитам + техническая поддержка. Как для клиента это выгодно, потому что снижает стоимость + дополнительные услуги. Но как всегда, есть нюансы...

Надо думать, обсуждать. Открыты для обсуждения других интересных идей, пожалуйста, пишите в комментариях.

CodeSpec только начинает свой путь! 🛣

А пока, работаем дальше! 🧗‍♀️

https://news.1rj.ru/str/NewBitFuture/1271

По поводу этого поста.

Аудита по этому софту не будет, у заказчика изменились планы.

Stay tuned.