Unser Blog

Von statischen Berichten zu Conversational Security: Sicherheitsteams ertrinken heute in Daten: SBOMs, CVEs, xAST-Ergebnisse, Compliance-Prüfungen und Risiko-Dashboards. Erkenntnisse bleiben jedoch oft in Dashboards verborgen, die nur wenige Experten abfragen können. Wir bei Scribe Security sind überzeugt, dass Ihre Sicherheitsdaten so zugänglich sein sollten wie ein Gespräch. Deshalb […]

In fast jedem Entwicklungsteam beginnt es gleich. Entwickler arbeiten schnell, entwickeln Funktionen, integrieren Drittanbieterpakete und schreiben jetzt auch Code mit KI-Copiloten. Die CI/CD-Pipelines brummen Tag und Nacht und bringen Updates schneller denn je in die Produktion. Die Kunden sind mit der Geschwindigkeit zufrieden. Doch im Hinterkopf jedes CISOs […]

Ihr Vibe-Coding-Projekt ist voller Schwachstellen! Softwareentwicklung mit KI ist von Science-Fiction zur alltäglichen Realität geworden. Ihr KI-codiertes Projekt funktioniert möglicherweise einwandfrei … bis Hacker die Schwachstellen finden. In diesem Beitrag beschreiben wir den Weg vom KI-generierten Code voller Entdeckungen und Schwachstellen zu einem vertrauenswürdigen Produkt, indem wir einen […]

Stellen Sie sich die Arbeitsbelastung eines Entwicklers vor: Ein langer Tag voller Code, Deadlines rücken näher, und dann kommt der gefürchtete SAST-Bericht. Hunderte von Funden, jeder einzelne eine potenzielle Schwachstelle, die sorgfältige Aufmerksamkeit erfordert. Der Prozess ist repetitiv, zeitaufwendig und, seien wir ehrlich, manchmal eine demoralisierende Plackerei. Und die Situation wird immer schlimmer; Codegenerierung […]

Dieser Artikel wurde gemeinsam mit Viktor Kartashov und Daniel Nebenzahl verfasst. Der Lackmustest des Auditors: Können Sie Ihre Builds beweisen? „Können Sie zweifelsfrei beweisen, dass jedes von Ihnen ausgelieferte Container-Image genau so erstellt wurde, wie Sie es behaupten?“ Die meisten Auditoren erwarten eine schnelle, zuverlässige Antwort – nicht wochenlanges, hektisches YAML-Refactoring. Die SLSA (Supply-Chain Levels for […]

Gemeinsam mit Viktor Kartashov verfasst. Der NIST SP 800–190-Standard bietet strukturierte Richtlinien zur Sicherung containerisierter Anwendungen und deckt alles ab, von der Image-Herkunft bis hin zu Laufzeitkontrollen. Da die Containernutzung in dynamischen DevOps-Umgebungen explosionsartig zunimmt, ist die Erfüllung dieser Anforderungen unerlässlich und zugleich eine Herausforderung. SP 800–190 ist hier jedoch nur ein Anwendungsfall. Die übergeordnete Idee ist […]

Was ist in-toto und wie schützt es die Software-Lieferkette? Angriffe auf die Software-Lieferkette, wie sie in den letzten Jahren – 3CX, Codecov und Solarwinds – beobachtet wurden, haben die Anfälligkeit traditioneller Entwicklungspipelines deutlich gemacht. Als Reaktion darauf entwickelte die Open-Source-Community in-toto, ein Framework, das die Integrität in jedem Schritt der Softwarebereitstellung gewährleistet. In-toto […]

In der heutigen Softwareentwicklungslandschaft ist die Vielfalt der Entwicklerprofile sowohl eine Stärke als auch eine Schwachstelle. Die beigefügte Taxonomie – von gut gemeinten, aber unvollkommenen „guten Entwicklern“ über „Citizen Developer“, die KI-generierten Code verwenden, bis hin zu „böswilligen Entwicklern“ – verdeutlicht, wie unterschiedliche Erfahrungsstufen, Absichten und Verhaltensweisen erhebliche Risiken für den Softwareentwicklungslebenszyklus (SDLC) bergen können. Scribe Security adressiert […]

Wir bei Scribe Security sind überzeugt, dass die Zukunft der Cybersicherheit von der umfassenden Sicherung von Software-Lieferketten abhängt. Deshalb sind wir stolz auf die Zusammenarbeit mit dem National Cybersecurity Center of Excellence (NCCoE) im Projekt „Software Supply Chain and DevOps Security Practices“. Diese Initiative bringt Technologieexperten aus dem öffentlichen und privaten Sektor zusammen, um zu erforschen, wie […]

Die meisten Softwareunternehmen verwenden mehrere Plattformen für Codeverwaltung, Build, Registrierung, Lieferung und Bereitstellung. Die Steuerung der Sicherheit des SDLC und der Softwarelieferkette erfordert eine einheitliche Plattform, die über die nativen Funktionen von GitHub hinausgeht. Effektives Risikomanagement erfordert klare Rückverfolgbarkeit und Steuerung vom Code bis zur Cloud – um sicherzustellen, dass jedes Container-Image und jedes freigegebene Artefakt mit […] verknüpft ist.