Riesgo cibernético

Este artículo fue coescrito por Mikey Strauss y Viktor Kartashov. Convierta los 10 principales riesgos de OWASP en controles automatizados y auditables. En los entornos DevOps modernos, las canalizaciones de CI/CD son la columna vertebral de la entrega de software. Pero una gran velocidad conlleva una gran exposición. A medida que las organizaciones aceleran los lanzamientos, los atacantes se dirigen cada vez más a las canalizaciones inseguras para inyectar código malicioso, exfiltrar secretos o […]

De informes estáticos a seguridad conversacional. Los equipos de seguridad actuales están inundados de datos: SBOM, CVE, resultados xAST, comprobaciones de cumplimiento y paneles de riesgo. Sin embargo, la información a menudo permanece bloqueada en paneles que solo unos pocos expertos saben cómo consultar. En Scribe Security, creemos que sus datos de seguridad deben ser tan accesibles como una conversación. Por eso […]

En casi todos los equipos de ingeniería, todo empieza igual. Los desarrolladores avanzan con rapidez, crean funciones, integran paquetes de terceros y, ahora, escriben código con copilotos de IA. Los flujos de trabajo de CI/CD funcionan a toda marcha, impulsando las actualizaciones a producción más rápido que nunca. Los clientes están satisfechos con la velocidad. Pero en el fondo, todo CISO […]

¡Tu proyecto de programación Vibe está plagado de vulnerabilidades! Desarrollar software con IA ha pasado de ser ciencia ficción a la realidad. Tu proyecto de programación con IA puede funcionar a la perfección… hasta que los hackers encuentren las fallas. En esta publicación, explicaremos cómo pasar de un código generado por IA, lleno de hallazgos y vulnerabilidades, a un producto confiable mediante un recorrido […]

Imagine la carga de trabajo de un desarrollador: una larga jornada de programación, plazos inminentes, y de repente llega el temido informe SAST. Cientos de hallazgos, cada uno una vulnerabilidad potencial, que requiere una atención minuciosa. El proceso es repetitivo, lento y, siendo sinceros, a veces una monotonía desmoralizante. Y la situación solo empeora; la generación de código […]

Este artículo fue escrito en colaboración con Viktor Kartashov y Daniel Nebenzahl. La prueba de fuego del auditor: ¿Puede demostrar sus compilaciones? "¿Puede demostrar, definitivamente, que cada imagen de contenedor que envía se creó exactamente como afirma?" La mayoría de los auditores esperan una respuesta rápida y confiable, no semanas de frenética refactorización de YAML. El SLSA (Niveles de la cadena de suministro para […]

Coescrito con Viktor Kartashov. El estándar NIST SP 800-190 proporciona directrices estructuradas para proteger las aplicaciones en contenedores, abarcando desde la procedencia de las imágenes hasta los controles de tiempo de ejecución. A medida que el uso de contenedores se dispara en entornos DevOps dinámicos, alinearse con estos requisitos se vuelve esencial y desafiante. Pero el SP 800-190 es solo un caso práctico. La idea principal es […]

¿Qué es in-toto y cómo protege la cadena de suministro de software? Los ataques a la cadena de suministro de software, como los observados en los últimos años (3CX, Codecov y Solarwinds), han puesto de manifiesto la fragilidad de los procesos de desarrollo tradicionales. En respuesta, la comunidad de código abierto desarrolló in-toto, un marco para garantizar la integridad en cada etapa de la entrega de software. In-toto […]

En el panorama actual del desarrollo de software, la diversidad de perfiles de desarrolladores es tanto una fortaleza como una vulnerabilidad. La taxonomía adjunta —que abarca desde los bienintencionados pero imperfectos "buenos desarrolladores" hasta los "desarrolladores ciudadanos" que utilizan código generado por IA, e incluso los "desarrolladores maliciosos"— destaca cómo los distintos niveles de experiencia, intención y comportamiento pueden plantear riesgos significativos para el ciclo de vida del desarrollo de software (SDLC). Scribe Security aborda […]

La mayoría de las organizaciones de software utilizan múltiples plataformas para la gestión, compilación, registro, entrega e implementación de código. Para gestionar la seguridad del ciclo de vida del desarrollo de software y de la cadena de suministro de software se necesita una plataforma unificada que vaya más allá de las capacidades nativas de GitHub. Una gestión eficaz de los riesgos exige una trazabilidad y una gobernanza claras desde el código hasta la nube, lo que garantiza que cada imagen de contenedor y artefacto publicado esté vinculado a […]