Автотесты как точка входа для атак: вы даже не заметите

Проверки безопасности чаще всего касаются «продового кода», а репозиторий с автотестами остается за пределами внимания безопасников. Однако open source уязвим, а тестировщики мало осведомлены об опасностях его использования, что создает отличный вектор для атак на инфраструктуру разработки, и, следовательно, на цепочку поставок ПО.

Расскажу о том, какие опасности кроются в open-source библиотеках в принципе, какие из опасностей релевантны для автотестов, приведу статистику по уязвимостям в самых популярных библиотеках для автотестов, покажу атаку на тестовый репозиторий, а также дам рекомендации по инструментам и подходам для защиты.