Unser Blog

Eines der Risiken der Software-Lieferkette ist die Offenlegung von Geheimnissen. Überall in der Software-Lieferkette lauern Geheimnisse. Entwickler und die CI\CD-Pipelines müssen Geheimnisse verwenden, um auf den SCM, die Pipeline, die Artefaktregister, die Cloud-Umgebungen und externe Dienste zuzugreifen. Und wenn es überall Geheimnisse gibt, ist es eine Frage der Zeit […]

Anfang August veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) einen Entwurf 2.0 seines wegweisenden Cybersecurity Framework, das erstmals 2014 veröffentlicht wurde. In den letzten 10 Jahren hat sich viel verändert, nicht zuletzt das steigende Niveau Cybersicherheitsbedrohungen, die im Originaldokument dargelegt wurden, um kritischen […]

Wir haben alle in letzter Zeit viel über SBOMs gehört. Wir hörten von ihrem Nutzen, ihrer Zusammensetzung und ihren Anforderungen an Sicherheit und Regulierung. Dieses Mal möchte ich mir die Zeit nehmen, über einen etwas weniger bekannten Abschnitt des CyclonDX SBOM zu sprechen – den Abhängigkeitsgraphen. Anders als der Name vermuten lässt, ist der Abhängigkeitsgraph kein […]

In den letzten Jahren wurde viel über die SBOM – Software Bill Of Materials – geschrieben. Bei all dieser Offenlegung haben die Leute das Gefühl, dass sie gut genug wissen, was es zu erklären gilt – es handelt sich um eine Liste von Softwarebestandteilen, es ist wichtig für Transparenz und Sicherheit und es hilft dabei, vorübergehende Abhängigkeiten aufzudecken. Alle […]

Valint ist das wichtigste Scribe-Tool zum Erstellen, Verwalten, Signieren und Überprüfen von Beweisen. In einem früheren Beitrag haben wir die Theorie behandelt, wie das Signieren und Verifizieren von Beweisen als Hauptinstrument zur Validierung der Sicherheit Ihrer CI/CD-Pipeline dient. Zur Erinnerung: Das von Scribe vorgeschlagene Modell umfasst mehrere Bausteine, die gemischt und […] gemischt werden können.

Im September 2022 veröffentlichte das US-amerikanische Amt für Verwaltung und Haushalt (OMB) ein wegweisendes Memo über die Schritte, die erforderlich sind, um Ihre Software-Lieferkette auf ein für die US-Bundesregierung akzeptables Maß zu sichern. Jedes Unternehmen, das mit der Regierung und einer Bundesbehörde, die Software herstellt, Geschäfte machen möchte, muss […]

CVE-Scans (Common Vulnerabilities and Exposures) sind für die Sicherung Ihrer Softwareanwendungen unerlässlich. Angesichts der zunehmenden Komplexität von Software-Stacks kann es jedoch eine Herausforderung sein, alle CVEs zu identifizieren und anzugehen. Eines der größten Probleme bei CVE-Scans ist heutzutage die Verbreitung falsch positiver Ergebnisse, bei denen eine Schwachstelle in einem Paket identifiziert wird, das nicht […]

Im März 2023 veröffentlichte das Weiße Haus eine neue nationale Cybersicherheitsstrategie. Die Strategie beschreibt eine Liste von fünf Säulen, die das Weiße Haus für entscheidend für die Verbesserung der Cybersicherheit für alle Amerikaner, sowohl im öffentlichen als auch im privaten Sektor, hält. Die dritte Säule befasst sich mit dem Bestreben, die Marktkräfte so zu gestalten, dass Sicherheit und Widerstandsfähigkeit verbessert werden. Ein Teil davon […]

Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel „Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles“. Der Leitfaden wurde in Zusammenarbeit mit neun verschiedenen Behörden erstellt, darunter unter anderem der NSA, dem Australian Cyber ​​Security Centre (ACSC) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Tatsache, dass […]

Am 20. März hat OpenAI das beliebte generative KI-Tool ChatGPT für einige Stunden lahmgelegt. Später wurde zugegeben, dass der Grund für den Ausfall eine Sicherheitslücke in der Software-Lieferkette war, die ihren Ursprung in der Open-Source-In-Memory-Datenspeicherbibliothek „Redis“ hatte. Aufgrund dieser Sicherheitslücke gab es ein Zeitfenster (zwischen 1 und 10 Uhr morgens).