Unser Blog

Cyber-Risiko
Barak Brudo Verwenden von Valint zum Anwenden von Richtlinien auf Ihren SDLC

Valint ist das wichtigste Scribe-Tool zum Erstellen, Verwalten, Signieren und Überprüfen von Beweisen. In einem früheren Beitrag haben wir die Theorie behandelt, wie das Signieren und Verifizieren von Beweisen als Hauptinstrument zur Validierung der Sicherheit Ihrer CI/CD-Pipeline dient. Zur Erinnerung: Das von Scribe vorgeschlagene Modell umfasst mehrere Bausteine, die gemischt und […] gemischt werden können.

Mehr erfahren
Cyber-Risiko
Barak Brudo CISAs gemeinsame Form der sicheren Software-Selbstbescheinigung: Ein Wendepunkt für die Haftung

Im September 2022 veröffentlichte das US-amerikanische Amt für Verwaltung und Haushalt (OMB) ein wegweisendes Memo über die Schritte, die erforderlich sind, um Ihre Software-Lieferkette auf ein für die US-Bundesregierung akzeptables Maß zu sichern. Jedes Unternehmen, das mit der Regierung und einer Bundesbehörde, die Software herstellt, Geschäfte machen möchte, muss […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Wie vermeidet man CVE-Burnout und Alarmmüdigkeit bei Schwachstellenscans?

CVE-Scans (Common Vulnerabilities and Exposures) sind für die Sicherung Ihrer Softwareanwendungen unerlässlich. Angesichts der zunehmenden Komplexität von Software-Stacks kann es jedoch eine Herausforderung sein, alle CVEs zu identifizieren und anzugehen. Eines der größten Probleme bei CVE-Scans ist heutzutage die Verbreitung falsch positiver Ergebnisse, bei denen eine Schwachstelle in einem Paket identifiziert wird, das nicht […]

Mehr erfahren
Cyber-RisikoEin Bild, das einen sicheren Hafen darstellt
Barak Brudo Bereitstellung eines sicheren Hafens vor Haftung für Softwarehersteller

Im März 2023 veröffentlichte das Weiße Haus eine neue nationale Cybersicherheitsstrategie. Die Strategie beschreibt eine Liste von fünf Säulen, die das Weiße Haus für entscheidend für die Verbesserung der Cybersicherheit für alle Amerikaner, sowohl im öffentlichen als auch im privaten Sektor, hält. Die dritte Säule befasst sich mit dem Bestreben, die Marktkräfte so zu gestalten, dass Sicherheit und Widerstandsfähigkeit verbessert werden. Ein Teil davon […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Die Zukunft von SBOM planen: Erkenntnisse aus dem neuen Leitfaden von CISA: Shifting the Balance of Cybersecurity Risk

Im April 2023 veröffentlichte CISA einen neuen gemeinsamen Leitfaden für Softwaresicherheit mit dem Titel „Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles“. Der Leitfaden wurde in Zusammenarbeit mit neun verschiedenen Behörden erstellt, darunter unter anderem der NSA, dem Australian Cyber ​​Security Centre (ACSC) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Tatsache, dass […]

Mehr erfahren
Cyber-RisikoEin Bild zur Veranschaulichung von KI geht schief
Barak Brudo Was passiert, wenn ein KI-Unternehmen Opfer einer Sicherheitslücke in der Software-Lieferkette wird?

Am 20. März hat OpenAI das beliebte generative KI-Tool ChatGPT für einige Stunden lahmgelegt. Später wurde zugegeben, dass der Grund für den Ausfall eine Sicherheitslücke in der Software-Lieferkette war, die ihren Ursprung in der Open-Source-In-Memory-Datenspeicherbibliothek „Redis“ hatte. Aufgrund dieser Sicherheitslücke gab es ein Zeitfenster (zwischen 1 und 10 Uhr morgens).

Mehr erfahren
Cyber-RisikoEin abstraktes Bild der gemeinsamen Nutzung von Dokumenten
Barak Brudo Was wir aus dem SBOM Sharing Lifecycle Report von CISA lernen können

Im April 2023 veröffentlichten DHS, CISA, DOE und CESER einen Bericht mit dem Titel „Software Bill of Materials (SBOM) Sharing Lifecycle Report“. Der Zweck des Berichts bestand darin, die aktuelle Art und Weise zu untersuchen, wie Menschen SBOMs teilen, und allgemein zu skizzieren, wie dieser Austausch besser und ausgefeilter gestaltet werden könnte, um […]

Mehr erfahren
Cyber-Risiko
Barak Brudo Vom Chaos zur Klarheit: So sichern Sie Ihre Lieferkette mit Attestierungen

Da das Bewusstsein immer größer wird, sollte der Schutz Ihrer Software-Lieferketten ein wesentlicher Bestandteil der Cybersicherheitsstrategie jedes Unternehmens sein. Eine der Hauptschwierigkeiten bei der Entwicklung einer umfassenden Strategie zur Minderung von Bedrohungen in der Software-Lieferkette ist die Komplexität und Vielfalt der Lieferketten. Jede Lieferkette ist einzigartig und die Elemente […]

Mehr erfahren
Cyber-RisikoEin Bild, das genehmigten Code veranschaulicht
Barak Brudo Verwendung des 3CX-Desktop-App-Angriffs zur Veranschaulichung der Bedeutung des Signierens und Verifizierens von Software

Ende März 2023 deckten Sicherheitsforscher den komplexen Software-Lieferkettenangriff eines Bedrohungsakteurs auf Geschäftskommunikationssoftware von 3CX auf, hauptsächlich auf die Desktop-App des Unternehmens für Sprach- und Videoanrufe. Die Forscher warnten, dass die App irgendwie mit einem Trojaner infiziert sei und dass ihre Verwendung die Organisation einem möglichen Exfiltrationsplan eines Bedrohungsakteurs aussetzen könnte. […]

Mehr erfahren
Cyber-RisikoEin Bild einer Person, die durch eine Pipeline späht
Barak Brudo Wie sicher sind Sie mit dem, was wirklich in Ihrer CI/CD-Pipeline passiert? Die Elemente, die Sie sichern sollten, und wie

CI/CD-Pipelines sind bekanntermaßen undurchsichtig, was genau darin geschieht. Selbst wenn Sie derjenige sind, der die YAML-Konfigurationsdatei (die Pipeline-Anweisungsliste) geschrieben hat, wie können Sie dann sicher sein, dass alles genau wie beschrieben abläuft? Schlimmer noch, die meisten Pipelines sind völlig vergänglich, sodass selbst wenn etwas Schlimmes passiert, keine […]

Mehr erfahren
1 2 3 4 5 6
Beliebte Beiträge
Erreichen der kontinuierlichen Container-Konformität SP 800–190 mit Scribe SecurityIn-Toto-Absolventen der CNCF: Einfache Sicherung der Software-LieferketteWie die Policy-as-Code-Leitplanken von Scribe Security SDLC-Risiken eindämmen, die von Entwicklern aller Art ausgehenZusammenarbeit mit NCCoE zur Stärkung der Software-Lieferkette und der DevOps-Sicherheit
Kategorien
Kontakt