Riesgo cibernético

Todos hemos oído hablar mucho de los SBOM recientemente. Escuchamos sobre su utilidad, su composición y sus requisitos de seguridad y regulación. Esta vez quiero tomarme el tiempo para hablar sobre un segmento un poco menos conocido del SBOM de CyclonDX: el gráfico de dependencia. A diferencia del nombre lo implica, el gráfico de dependencia no es un […]

En los últimos años se han escrito muchas palabras sobre la SBOM (Software Bill Of Materials). Con toda esta exposición, la gente siente que saben lo suficientemente bien lo que es explicar: es una lista de ingredientes del software, es importante para la transparencia y la seguridad, y ayuda a exponer las dependencias transitorias. Todo […]

Valint es la principal herramienta de Scribe para crear, gestionar, firmar y verificar pruebas. En una publicación anterior, cubrimos la teoría del uso de la firma y verificación de evidencia como herramienta principal para validar la seguridad de su proceso de CI/CD. Como breve recordatorio, el modelo propuesto por Scribe incluye varios bloques de construcción que se pueden mezclar y […]

En septiembre de 2022, la Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) emitió un memorando histórico sobre los pasos necesarios para asegurar su cadena de suministro de software en un grado aceptable por el gobierno federal de los Estados Unidos. Cualquier empresa que desee hacer negocios con el gobierno y cualquier agencia federal que produzca software debe cumplir con […]

Los análisis CVE (vulnerabilidades y exposiciones comunes) son esenciales para proteger sus aplicaciones de software. Sin embargo, con la creciente complejidad de las pilas de software, identificar y abordar todos los CVE puede resultar un desafío. Uno de los mayores problemas con los escaneos CVE hoy en día es la prevalencia de falsos positivos, donde se identifica una vulnerabilidad en un paquete que no es […]

En marzo de 2023, la Casa Blanca publicó una nueva Estrategia Nacional de Ciberseguridad. La estrategia describe una lista de cinco pilares que la Casa Blanca considera fundamentales para mejorar la ciberseguridad de todos los estadounidenses, tanto del sector público como del privado. El tercer pilar se ocupa del impulso para configurar las fuerzas del mercado para mejorar la seguridad y la resiliencia. Parte de eso […]

En abril de 2023, CISA publicó una nueva guía conjunta para la seguridad del software llamada Cambiar el equilibrio del riesgo de ciberseguridad: principios de seguridad por diseño y predeterminados. La Guía se compuso con la cooperación de 9 agencias diferentes, incluida la NSA, el Centro Australiano de Seguridad Cibernética (ACSC) y la Oficina Federal de Seguridad de la Información (BSI) de Alemania, entre otras. El hecho de que […]

El 20 de marzo, OpenAI eliminó la popular herramienta de inteligencia artificial generativa ChatGPT durante unas horas. Más tarde admitió que el motivo de la interrupción fue una vulnerabilidad en la cadena de suministro de software que se originó en la biblioteca de almacenamiento de datos en memoria de código abierto 'Redis'. Como resultado de esta vulnerabilidad, hubo una ventana de tiempo (entre la 1 y las 10 a.m. […]

En abril de 2023, DHS, CISA, DOE y CESER publicaron un informe titulado "Informe del ciclo de vida compartido de la lista de materiales del software (SBOM)". El propósito del informe era examinar las formas actuales en que las personas comparten SBOM y esbozar, en términos generales, cómo se podría compartir mejor, con mayor sofisticación para […]

A medida que todo el mundo se vuelve cada vez más consciente, la protección de sus cadenas de suministro de software debería ser una parte vital de la estrategia de seguridad cibernética de cada organización. Una de las principales dificultades para crear una estrategia integral para mitigar las amenazas a la cadena de suministro de software es la complejidad y diversidad de las cadenas de suministro. Cada cadena de suministro es única y los elementos […]