المقالات

يتم استخدام خطوط أنابيب CI/CD الآلية (التكامل المستمر/التسليم المستمر) لتسريع عملية التطوير. من الرائع أن يكون لديك مشغلات أو جدولة تأخذ الكود الخاص بك، وتدمجه، وتبنيه، وتختبره، وتشحنه تلقائيًا. ومع ذلك، نظرًا لأنه تم تصميمها من أجل السرعة وسهولة الاستخدام، فهذا يعني أن معظم خطوط الأنابيب لم يتم بناؤها بطبيعتها مع توفير الأمان في […]

ويتزايد باستمرار معدل الكشف عن نقاط الضعف الجديدة. ويصل حاليًا إلى متوسط ​​15,000 مواجهة للتطرف العنيف سنويًا. يبرز عام 2022 مع الإبلاغ عن أكثر من 26,000 مواجهة جديدة للتطرف العنيف. من الواضح أنه ليست كل نقاط الضعف ذات صلة ببرنامجك. لمعرفة ما إذا كانت ثغرة أمنية معينة تمثل مشكلة، عليك أولاً معرفة ما إذا كانت […]

على الرغم من الاعتماد المتزايد على قائمة مواد البرامج (SBOM) لتكون بمثابة أداة لإدارة الثغرات الأمنية والأمن السيبراني، لا تزال العديد من المؤسسات تكافح من أجل فهم تنسيقي SBOM الأكثر شيوعًا والمستخدمين اليوم، SPDX وCycloneDX. في هذه المقالة، سنقارن بين هذين التنسيقين لمساعدتك في اختيار التنسيق المناسب لك […]

يركز النهج التقليدي لتأمين منتجات البرمجيات على إزالة نقاط الضعف في التعليمات البرمجية المخصصة وحماية التطبيقات من المخاطر المعروفة في تبعيات الطرف الثالث. ومع ذلك، فإن هذه الطريقة غير كافية وتفشل في معالجة النطاق الكامل للتهديدات التي تشكلها سلسلة توريد البرامج. إهمال تأمين كل جانب من جوانب هذه السلسلة، من الإنتاج إلى التوزيع […]

في الشهر الماضي عثرت على هذا المقال من Dark Reading. بدا مألوفا جدا. لم يستغرق الأمر وقتًا طويلاً لأدرك أن ثغرة التسمم بالعناصر الأثرية لسير العمل المتقاطع في GitHub التي تمت مناقشتها في المقالة تحمل تشابهًا صارخًا مع ثغرة التسمم بذاكرة التخزين المؤقت لسير العمل المتقاطع في GitHub التي أبلغنا عنها في مارس 2022. سير عمل GitHub - أحد المكونات الرئيسية لـ GitHub […]

ومع الاستخدام المتزايد لمكونات الطرف الثالث وسلاسل توريد البرامج الطويلة، يمكن للمهاجمين الآن اختراق العديد من حزم البرامج في وقت واحد من خلال استغلال واحد. ردًا على ناقل الهجوم الجديد هذا، يتطلع المزيد من فرق التطوير وDevOps، بالإضافة إلى متخصصي الأمان، إلى دمج قائمة مواد البرامج (SBOM). سلسلة توريد البرمجيات […]

اتخذت المخاطر التي تواجهها سلاسل توريد البرمجيات مكانها في طليعة المحادثات في النظام البيئي للأمن السيبراني. ويرجع ذلك جزئيًا إلى زيادة وتيرة هجمات سلسلة التوريد هذه، ولكن أيضًا بسبب التأثيرات بعيدة المدى المحتملة التي تحدثها عند حدوثها. أظهرت أرقام عام 2021 هجمات سلسلة توريد البرمجيات […]

تتعرض سلسلة توريد البرامج العالمية دائمًا للتهديد من مجرمي الإنترنت الذين يهددون بسرقة المعلومات الحساسة أو الملكية الفكرية والإضرار بسلامة النظام. قد تؤثر هذه المشكلات على الشركات التجارية بالإضافة إلى قدرة الحكومة على تقديم الخدمات للجمهور بشكل آمن وموثوق. مكتب الإدارة والميزانية الأمريكي (OMB) […]

عندما تجتمع ثلاث وكالات حكومية أمريكية من أجل "تشجيع بقوة" المطورين على تبني ممارسات معينة، يجب عليك الانتباه. أعلنت CISA وNSA وODNI، اعترافًا بالتهديد الذي يشكله قراصنة الإنترنت وفي أعقاب هجوم SolarWinds، أنهم سينشرون بشكل مشترك مجموعة من التوصيات لتأمين إمدادات البرامج [...]

تعمل حكومة الولايات المتحدة على تجديد سياسات الأمن السيبراني الخاصة بها. يتضمن ذلك إصدار الإصدار 1.1 من إطار تطوير البرمجيات الآمنة (SSDF) بواسطة المعهد الوطني للمعايير والتكنولوجيا (NIST)، والذي يهدف إلى تقليل الثغرات الأمنية عبر دورة حياة تطوير البرمجيات (SDLC). تزود الوثيقة بائعي البرامج ومشتريها بـ "[...]"