المقالات

يركز النهج التقليدي لتأمين منتجات البرمجيات على إزالة نقاط الضعف في التعليمات البرمجية المخصصة وحماية التطبيقات من المخاطر المعروفة في تبعيات الطرف الثالث. ومع ذلك، فإن هذه الطريقة غير كافية وتفشل في معالجة النطاق الكامل للتهديدات التي تشكلها سلسلة توريد البرامج. إهمال تأمين كل جانب من جوانب هذه السلسلة، من الإنتاج إلى التوزيع […]

في الشهر الماضي عثرت على هذا المقال من Dark Reading. بدا مألوفا جدا. لم يستغرق الأمر وقتًا طويلاً لأدرك أن ثغرة التسمم بالعناصر الأثرية لسير العمل المتقاطع في GitHub التي تمت مناقشتها في المقالة تحمل تشابهًا صارخًا مع ثغرة التسمم بذاكرة التخزين المؤقت لسير العمل المتقاطع في GitHub التي أبلغنا عنها في مارس 2022. سير عمل GitHub - أحد المكونات الرئيسية لـ GitHub […]

ومع الاستخدام المتزايد لمكونات الطرف الثالث وسلاسل توريد البرامج الطويلة، يمكن للمهاجمين الآن اختراق العديد من حزم البرامج في وقت واحد من خلال استغلال واحد. ردًا على ناقل الهجوم الجديد هذا، يتطلع المزيد من فرق التطوير وDevOps، بالإضافة إلى متخصصي الأمان، إلى دمج قائمة مواد البرامج (SBOM). سلسلة توريد البرمجيات […]

اتخذت المخاطر التي تواجهها سلاسل توريد البرمجيات مكانها في طليعة المحادثات في النظام البيئي للأمن السيبراني. ويرجع ذلك جزئيًا إلى زيادة وتيرة هجمات سلسلة التوريد هذه، ولكن أيضًا بسبب التأثيرات بعيدة المدى المحتملة التي تحدثها عند حدوثها. أظهرت أرقام عام 2021 هجمات سلسلة توريد البرمجيات […]

تتعرض سلسلة توريد البرامج العالمية دائمًا للتهديد من مجرمي الإنترنت الذين يهددون بسرقة المعلومات الحساسة أو الملكية الفكرية والإضرار بسلامة النظام. قد تؤثر هذه المشكلات على الشركات التجارية بالإضافة إلى قدرة الحكومة على تقديم الخدمات للجمهور بشكل آمن وموثوق. مكتب الإدارة والميزانية الأمريكي (OMB) […]

عندما تجتمع ثلاث وكالات حكومية أمريكية من أجل "تشجيع بقوة" المطورين على تبني ممارسات معينة، يجب عليك الانتباه. أعلنت CISA وNSA وODNI، اعترافًا بالتهديد الذي يشكله قراصنة الإنترنت وفي أعقاب هجوم SolarWinds، أنهم سينشرون بشكل مشترك مجموعة من التوصيات لتأمين إمدادات البرامج [...]

تعمل حكومة الولايات المتحدة على تجديد سياسات الأمن السيبراني الخاصة بها. يتضمن ذلك إصدار الإصدار 1.1 من إطار تطوير البرمجيات الآمنة (SSDF) بواسطة المعهد الوطني للمعايير والتكنولوجيا (NIST)، والذي يهدف إلى تقليل الثغرات الأمنية عبر دورة حياة تطوير البرمجيات (SDLC). تزود الوثيقة بائعي البرامج ومشتريها بـ "[...]"

تم العثور على هجوم جديد لسلسلة توريد البرامج مصمم لاستخراج البيانات من التطبيقات ومواقع الويب في أكثر من عشرين حزمة NPM.

GitGat عبارة عن مجموعة من سياسات OPA (وكيل السياسة المفتوحة) المستقلة المكتوبة بلغة Rego. يقوم GitGat بتقييم إعدادات الأمان لحساب SCM الخاص بك ويزودك بتقرير حالة وتوصيات قابلة للتنفيذ.

لا يمكنك الوثوق بالمنتجات الموقعة وتحديثات البائعين وربما تم تعديل الكود الخاص بك أو إضافته إليه بالفعل. إذن، ما الذي يمكنك فعله للتأكد من أنك لا تقوم بتثبيت ملفات ضارة في نظامك؟