المقالات

Valint هي أداة Scribe الرئيسية لإنشاء الأدلة وإدارتها وتوقيعها والتحقق منها. في منشور سابق، تناولنا نظرية استخدام التوقيع والتحقق من الأدلة كأداة رئيسية للتحقق من أمان خط أنابيب CI/CD الخاص بك. كتذكير قصير، يتضمن نموذج سكرايب المقترح العديد من العناصر الأساسية التي يمكن خلطها ودمجها […]

في سبتمبر 2022، أصدر مكتب الإدارة والميزانية (OMB) بالولايات المتحدة مذكرة تاريخية بخصوص الخطوات اللازمة لتأمين سلسلة توريد البرامج الخاصة بك إلى درجة مقبولة من قبل الحكومة الفيدرالية الأمريكية. يجب على أي شركة ترغب في التعامل مع الحكومة وأي وكالة اتحادية تنتج برامج أن تمتثل لـ […]

تعد عمليات فحص CVE (نقاط الضعف والتعرض الشائعة) ضرورية لتأمين تطبيقاتك البرمجية. ومع ذلك، مع التعقيد المتزايد لمجموعات البرامج، قد يكون تحديد ومعالجة جميع التهديدات التطرفية الخطيرة أمرًا صعبًا. واحدة من أكبر المشكلات المتعلقة بفحوصات CVE اليوم هي انتشار النتائج الإيجابية الكاذبة، حيث يتم تحديد الثغرة الأمنية في حزمة غير […]

في مارس 2023، أصدر البيت الأبيض استراتيجية وطنية جديدة للأمن السيبراني. تحدد الاستراتيجية قائمة من 5 ركائز يعتبرها البيت الأبيض حاسمة لتحسين الأمن السيبراني لجميع الأميركيين، في القطاعين العام والخاص. وتتناول الركيزة الثالثة الدافع لتشكيل قوى السوق لتحسين الأمن والقدرة على الصمود. جزء من ذلك […]

في أبريل 2023، أصدرت CISA دليلًا مشتركًا جديدًا لأمن البرمجيات يسمى تغيير توازن مخاطر الأمن السيبراني: مبادئ الأمن حسب التصميم والمبادئ الافتراضية. تم إعداد الدليل بالتعاون مع 9 وكالات مختلفة بما في ذلك وكالة الأمن القومي، ومركز الأمن السيبراني الأسترالي (ACSC)، والمكتب الفيدرالي الألماني لأمن المعلومات (BSI)، من بين وكالات أخرى. حقيقة ان […]

في 20 مارس، أزالت OpenAI أداة الذكاء الاصطناعي التوليدية الشهيرة ChatGPT لبضع ساعات. واعترفت لاحقًا بأن سبب الانقطاع كان عبارة عن ثغرة أمنية في سلسلة توريد البرامج والتي نشأت في مكتبة مخزن البيانات مفتوحة المصدر في الذاكرة "Redis". ونتيجة لهذه الثغرة الأمنية، كانت هناك نافذة زمنية (بين 1 و10 صباحًا […]

في أبريل 2023، أصدرت DHS وCISA وDOE وCESER تقريرًا بعنوان "تقرير دورة حياة مشاركة قائمة مواد البرامج (SBOM).". كان الغرض من التقرير هو دراسة الطرق الحالية التي يشارك بها الأشخاص SBOMs بالإضافة إلى الخطوط العريضة، بشكل عام، كيف يمكن إجراء هذه المشاركة بشكل أفضل، مع مزيد من التعقيد لـ [...]

نظرًا لأن الجميع أصبحوا أكثر وعيًا بشكل تدريجي، يجب أن تكون حماية سلاسل توريد البرامج الخاصة بك جزءًا حيويًا من استراتيجية الأمن السيبراني لكل مؤسسة. إحدى الصعوبات الرئيسية في إنشاء استراتيجية شاملة للتخفيف من تهديدات سلسلة توريد البرمجيات هي تعقيد وتنوع سلاسل التوريد. كل سلسلة توريد فريدة من نوعها، والعناصر […]

في أواخر مارس 2023، كشف باحثون أمنيون عن هجوم معقد لسلسلة التوريد البرمجية لأحد الجهات الفاعلة على برامج الاتصالات التجارية من 3CX، وبشكل أساسي تطبيق سطح المكتب للاتصال الصوتي والفيديو الخاص بالشركة. وحذر الباحثون من أن التطبيق تعرض بطريقة ما لفيروس طروادة وأن استخدامه قد يعرض المنظمة لمخطط تسرب محتمل من قبل جهة تهديد. […]

من المعروف أن خطوط أنابيب CI/CD مبهمة فيما يتعلق بما يحدث بالضبط في الداخل. حتى لو كنت أنت الشخص الذي كتب ملف تكوين YAML (قائمة تعليمات المسار) كيف يمكنك التأكد من أن كل شيء يحدث تمامًا كما هو موضح؟ والأسوأ من ذلك، أن معظم خطوط الأنابيب سريعة الزوال، لذلك حتى لو حدث شيء سيئ، فلا داعي […]