Was ist die Hintertür von XZ Utils (CVE-2024-3094)? CVE-2024-3094, veröffentlicht Anfang April 2024, ist eine Backdoor, die böswillig in ein Linux-Dienstprogramm eingefügt wurde. Es wurde von Andres Freund, einem neugierigen und sicherheitsbewussten Microsoft-Softwareentwickler, entdeckt, der kurz vor der Integration in die wichtigsten Linux-Distributionen stand. Wäre dies gelungen, wäre eine unvorstellbare Anzahl von Servern […]
Mehr erfahrenStellen Sie sich die nächste Vorstandssitzung vor. Sie, ein Sicherheitsverantwortlicher in Ihrem Unternehmen, werden Ihre Standardübersicht mit Risiken, Abhilfemaßnahmen und Vorfällen präsentieren. Dann wird eines der Vorstandsmitglieder fragen: Wie bereiten Sie sich auf den Schutz der neuen KI-Technologien und der MLOps-Pipelines vor, die das Unternehmen bereits nutzt? Hier ist Ihre Antwort. KI […]
Mehr erfahrenWillkommen zurück zum zweiten Teil unserer Blogserie, in dem wir tiefer in die leistungsstarken Funktionen von Valint eintauchen. In diesem Artikel konzentrieren wir uns auf die Richtlinien-Engine von Valint und ihre zentrale Rolle bei der Gewährleistung der Compliance in Ihrer gesamten Lieferkette. In unserem vorherigen Blogbeitrag haben wir einen Überblick über die Designprinzipien von Valint gegeben. Wie die Policy Engine […]
Mehr erfahrenAngesichts der zunehmenden Komplexität von Anwendungen und der Zunahme von Sicherheitsbedrohungen ist die Gewährleistung der Sicherheit von Softwareanwendungen für Unternehmen zu einer erheblichen Herausforderung geworden. Als Lösung für diese Herausforderungen erweist sich das Application Security Posture Management (ASPM), das einen Rahmen für die Verbesserung der Sichtbarkeit, das Management von Schwachstellen und die Durchsetzung von Sicherheitskontrollen im gesamten Softwareentwicklungslebenszyklus bietet. Der […]
Mehr erfahrenDie Einzelheiten dessen, was in CI/CD-Pipelines passiert, sind äußerst undurchsichtig. Wie können Sie sicher sein, dass alles genau so abläuft, wie es beschrieben wird, obwohl Sie die YAML-Konfigurationsdatei geschrieben haben, bei der es sich um die Pipeline-Anweisungsliste handelt? Schlimmer noch: Die meisten Pipelines sind völlig transient, sodass selbst im Falle einer Fehlfunktion […]
Mehr erfahrenDas Secure Software Development Framework (SSDF), auch bekannt als NIST SP800-218, ist eine Reihe von Richtlinien, die von NIST als Reaktion auf Executive Order 14028 entwickelt wurden und sich auf die Verbesserung der Cybersicherheitslage der Vereinigten Staaten, insbesondere im Hinblick auf die Sicherheit der Software-Lieferkette, konzentrieren. SSDF ist ein Best-Practices-Framework, kein Standard. Obwohl dies besonders relevant für Organisationen ist, die […]
Mehr erfahrenHintergrund SLSA (Supply-Chain Levels for Software Artifacts) ist ein Sicherheitsrahmenwerk, das darauf abzielt, Manipulationen zu verhindern, die Integrität zu verbessern und Pakete und Infrastruktur zu sichern. Das Kernkonzept von SLSA besteht darin, dass einem Software-Artefakt nur dann vertraut werden kann, wenn es drei Anforderungen erfüllt: Das Artefakt sollte über ein Provenienzdokument verfügen, das seinen Ursprung und seinen Erstellungsprozess beschreibt […]
Mehr erfahren„Softwareanbieter müssen haftbar gemacht werden, wenn sie ihrer Sorgfaltspflicht gegenüber Verbrauchern, Unternehmen oder Anbietern kritischer Infrastruktur nicht nachkommen“ (das Weiße Haus). Heutzutage wird von jedem Softwareanbieter erwartet, dass er durch vertragliche Vereinbarungen, Software-Releases und -Updates, Benachrichtigungen und […] eine größere Verantwortung für die Gewährleistung der Integrität und Sicherheit von Software übernimmt.
Mehr erfahrenTL;DR In den letzten Jahren hat sich die Technologiebranche vehement für das Konzept des „Shift Left“ in der Softwareentwicklung eingesetzt und sich für eine frühzeitige Integration von Sicherheitspraktiken in den Entwicklungslebenszyklus eingesetzt. Ziel dieser Bewegung ist es, Entwicklern die Verantwortung zu übertragen, die Sicherheit ihres Codes von Beginn des Projekts an zu gewährleisten. Obwohl die Absichten hinter diesem Ansatz […]
Mehr erfahrenDie Branche hat die Idee einer SBOM noch nicht vollständig verstanden, und wir hören bereits einen neuen Begriff – ML-BOM – Machine Learning Bill of Material. Bevor Panik ausbricht, wollen wir verstehen, warum eine solche Stückliste erstellt werden sollte, welche Herausforderungen bei der Generierung einer ML-Stückliste bestehen und wie eine solche ML-Stückliste aussehen kann. […]
Mehr erfahren