مخاطر الإنترنت

في أوائل أغسطس، أصدر المعهد الوطني الأمريكي للمعايير والتكنولوجيا (NIST) مسودة نسخة 2.0 من إطار عمل الأمن السيبراني البارز، والذي نُشر لأول مرة في عام 2014. لقد تغير الكثير على مدى السنوات العشر الماضية، وليس أقلها المستوى المتزايد من الأمن السيبراني. تهديدات الأمن السيبراني التي حددتها الوثيقة الأصلية لمساعدة الحرجة [...]

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]

لقد تمت كتابة الكثير من الكلمات في السنوات القليلة الماضية حول SBOM – قائمة المواد البرمجية. مع كل هذا التعرض، يشعر الأشخاص أنهم يعرفون ما هو جيد بما يكفي لشرحه - إنها قائمة بمكونات البرامج، وهي مهمة للشفافية والأمن، وتساعد في كشف التبعيات العابرة. الجميع […]

Valint هي أداة Scribe الرئيسية لإنشاء الأدلة وإدارتها وتوقيعها والتحقق منها. في منشور سابق، تناولنا نظرية استخدام التوقيع والتحقق من الأدلة كأداة رئيسية للتحقق من أمان خط أنابيب CI/CD الخاص بك. كتذكير قصير، يتضمن نموذج سكرايب المقترح العديد من العناصر الأساسية التي يمكن خلطها ودمجها […]

في سبتمبر 2022، أصدر مكتب الإدارة والميزانية (OMB) بالولايات المتحدة مذكرة تاريخية بخصوص الخطوات اللازمة لتأمين سلسلة توريد البرامج الخاصة بك إلى درجة مقبولة من قبل الحكومة الفيدرالية الأمريكية. يجب على أي شركة ترغب في التعامل مع الحكومة وأي وكالة اتحادية تنتج برامج أن تمتثل لـ […]

تعد عمليات فحص CVE (نقاط الضعف والتعرض الشائعة) ضرورية لتأمين تطبيقاتك البرمجية. ومع ذلك، مع التعقيد المتزايد لمجموعات البرامج، قد يكون تحديد ومعالجة جميع التهديدات التطرفية الخطيرة أمرًا صعبًا. واحدة من أكبر المشكلات المتعلقة بفحوصات CVE اليوم هي انتشار النتائج الإيجابية الكاذبة، حيث يتم تحديد الثغرة الأمنية في حزمة غير […]

في مارس 2023، أصدر البيت الأبيض استراتيجية وطنية جديدة للأمن السيبراني. تحدد الاستراتيجية قائمة من 5 ركائز يعتبرها البيت الأبيض حاسمة لتحسين الأمن السيبراني لجميع الأميركيين، في القطاعين العام والخاص. وتتناول الركيزة الثالثة الدافع لتشكيل قوى السوق لتحسين الأمن والقدرة على الصمود. جزء من ذلك […]

في أبريل 2023، أصدرت CISA دليلًا مشتركًا جديدًا لأمن البرمجيات يسمى تغيير توازن مخاطر الأمن السيبراني: مبادئ الأمن حسب التصميم والمبادئ الافتراضية. تم إعداد الدليل بالتعاون مع 9 وكالات مختلفة بما في ذلك وكالة الأمن القومي، ومركز الأمن السيبراني الأسترالي (ACSC)، والمكتب الفيدرالي الألماني لأمن المعلومات (BSI)، من بين وكالات أخرى. حقيقة ان […]

في 20 مارس، أزالت OpenAI أداة الذكاء الاصطناعي التوليدية الشهيرة ChatGPT لبضع ساعات. واعترفت لاحقًا بأن سبب الانقطاع كان عبارة عن ثغرة أمنية في سلسلة توريد البرامج والتي نشأت في مكتبة مخزن البيانات مفتوحة المصدر في الذاكرة "Redis". ونتيجة لهذه الثغرة الأمنية، كانت هناك نافذة زمنية (بين 1 و10 صباحًا […]

في أبريل 2023، أصدرت DHS وCISA وDOE وCESER تقريرًا بعنوان "تقرير دورة حياة مشاركة قائمة مواد البرامج (SBOM).". كان الغرض من التقرير هو دراسة الطرق الحالية التي يشارك بها الأشخاص SBOMs بالإضافة إلى الخطوط العريضة، بشكل عام، كيف يمكن إجراء هذه المشاركة بشكل أفضل، مع مزيد من التعقيد لـ [...]