Unser Blog

Letzten Monat bin ich auf diesen Artikel von Dark Reading gestoßen. Es kam mir sehr bekannt vor. Es dauerte nicht lange, bis mir klar wurde, dass die im Artikel besprochene GitHub-Schwachstelle Cross-Workflow-Artefakt-Poisoning eine verblüffende Ähnlichkeit mit der GitHub-Schwachstelle Cross-Workflow-Cache-Poisoning aufwies, über die wir im März 2022 berichteten. GitHub-Workflows – Eine Schlüsselkomponente von GitHub […]

Durch den zunehmenden Einsatz von Komponenten Dritter und langwierigen Software-Lieferketten können Angreifer mittlerweile viele Softwarepakete gleichzeitig über einen einzigen Exploit kompromittieren. Als Reaktion auf diesen neuen Angriffsvektor planen immer mehr Entwicklungs- und DevOps-Teams sowie Sicherheitsexperten die Einführung einer Software Bill of Materials (SBOM). Die Software-Lieferkette […]

Die Risiken, denen Software-Lieferketten ausgesetzt sind, stehen im Mittelpunkt der Gespräche im Cybersicherheits-Ökosystem. Dies ist teilweise auf die zunehmende Häufigkeit dieser Angriffe auf die Lieferkette zurückzuführen, aber auch auf die möglicherweise weitreichenden Auswirkungen, die sie haben, wenn sie tatsächlich auftreten. Zahlen aus dem Jahr 2021 zeigten Angriffe auf die Software-Lieferkette […]

Die globale Software-Lieferkette ist ständig von Cyberkriminellen bedroht, die damit drohen, vertrauliche Informationen oder geistiges Eigentum zu stehlen und die Systemintegrität zu gefährden. Diese Probleme können sich sowohl auf kommerzielle Unternehmen als auch auf die Fähigkeit der Regierung auswirken, Dienstleistungen für die Öffentlichkeit sicher und zuverlässig bereitzustellen. Das United States Office of Management and Budget (OMB) […]

Wenn drei US-Regierungsbehörden zusammenkommen, um Entwickler „nachdrücklich zu ermutigen“, bestimmte Praktiken einzuführen, sollten Sie aufmerksam sein. CISA, NSA und ODNI haben in Anerkennung der Bedrohung durch Cyber-Hacker und im Zuge des SolarWinds-Angriffs angekündigt, dass sie gemeinsam eine Sammlung von Empfehlungen zur Sicherung der Softwareversorgung veröffentlichen werden.

Die US-Regierung ist dabei, ihre Cybersicherheitsrichtlinien zu überarbeiten. Dazu gehört die Veröffentlichung des Secure Software Development Framework (SSDF) Version 1.1 durch das National Institute of Standards and Technology (NIST), das darauf abzielt, Sicherheitslücken im gesamten Software Development Life Cycle (SDLC) zu reduzieren. Das Dokument bietet Softwareanbietern und -käufern „eine […]

In über zwei Dutzend NPM-Paketen wurde ein neuer Software-Supply-Chain-Angriff gefunden, der darauf abzielt, Daten aus Anwendungen und Websites zu extrahieren.

GitGat ist eine Reihe eigenständiger OPA-Richtlinien (Open Policy Agent), die in Rego geschrieben sind. GitGat wertet die Sicherheitseinstellungen Ihres SCM-Kontos aus und liefert Ihnen einen Statusbericht und umsetzbare Empfehlungen.

Sie können den signierten Produkten und Updates von Anbietern nicht vertrauen und Ihr eigener Code wurde möglicherweise bereits geändert oder ergänzt. Was können Sie dann tun, um wirklich sicherzustellen, dass Sie keine schädlichen Dateien auf Ihrem System installieren?

Am 22. März veröffentlichte NIST die endgültige Version des SSDF 1.1 (Secure Software Development Framework). Wir werfen einen Blick auf einige Unterschiede zwischen der endgültigen Version und dem vorherigen Entwurf.