En abril de 2023, DHS, CISA, DOE y CESER publicaron un informe titulado "Informe del ciclo de vida compartido de la lista de materiales del software (SBOM)". El propósito del informe era examinar las formas actuales en que las personas comparten SBOM y esbozar, en términos generales, cómo se podría compartir mejor, con mayor sofisticación para […]
Seguir LeyendoA medida que todo el mundo se vuelve cada vez más consciente, la protección de sus cadenas de suministro de software debería ser una parte vital de la estrategia de seguridad cibernética de cada organización. Una de las principales dificultades para crear una estrategia integral para mitigar las amenazas a la cadena de suministro de software es la complejidad y diversidad de las cadenas de suministro. Cada cadena de suministro es única y los elementos […]
Seguir LeyendoA finales de marzo de 2023, investigadores de seguridad expusieron un complejo ataque a la cadena de suministro de software de un actor de amenazas al software de comunicación empresarial de 3CX, principalmente la aplicación de escritorio de llamadas de voz y video de la compañía. Los investigadores advirtieron que la aplicación estaba de alguna manera troyanizada y que su uso podría exponer a la organización a un posible plan de exfiltración por parte de un actor de amenazas. […]
Seguir LeyendoLas canalizaciones de CI/CD son notoriamente opacas en cuanto a lo que ocurre exactamente en su interior. Incluso si usted es quien escribió el archivo de configuración YAML (la lista de instrucciones de canalización), ¿cómo puede estar seguro de que todo sucede exactamente como se describe? Peor aún, la mayoría de los oleoductos son completamente efímeros, por lo que incluso si sucede algo malo, no hay […]
Seguir LeyendoOpenSSL es una biblioteca de software de código abierto ampliamente utilizada para implementar comunicaciones seguras a través de redes informáticas. ¿Qué tan ampliamente se usa? Bueno, lo más probable es que si alguna vez accediste a una página web HTTPS, lo hiciste a través de un cifrado OpenSSL. La biblioteca proporciona funciones criptográficas y protocolos para el cifrado, descifrado, autenticación y verificación de firmas digitales de datos. OpenSSL puede ser […]
Seguir LeyendoLos ciberataques exitosos contra productos de hardware y software son cada vez más frecuentes. Según Cybersecurity Ventures, el cibercrimen le costará al mundo unos 7 billones de dólares en 2022. Con un precio tan alto, no es de extrañar que tanto las empresas como los gobiernos se estén dando cuenta. Estados Unidos abrió el camino con la orden ejecutiva presidencial […]
Seguir LeyendoSe utilizan canales automatizados de CI/CD (integración continua/entrega continua) para acelerar el desarrollo. Es fantástico tener activadores o programación que tomen su código, lo fusionen, lo construyan, lo prueben y lo envíen automáticamente. Sin embargo, haber sido construidos para ser rápidos y fáciles de usar significa que la mayoría de las tuberías no están construidas inherentemente con seguridad en […]
Seguir LeyendoEl ritmo al que se revelan nuevas vulnerabilidades aumenta constantemente. Actualmente se sitúa en una media de 15,000 CVE al año. 2022 se destaca con más de 26,000 nuevos CVE reportados. Obviamente, no todas las vulnerabilidades son relevantes para su software. Para determinar si una vulnerabilidad en particular es un problema, primero debe determinar […]
Seguir LeyendoA pesar de la creciente adopción de la Lista de materiales de software (SBOM) para que sirva como herramienta de gestión de vulnerabilidades y ciberseguridad, muchas organizaciones todavía tienen dificultades para comprender los dos formatos SBOM más populares que se utilizan en la actualidad, SPDX y CycloneDX. En este artículo, compararemos estos dos formatos para ayudarlo a elegir el adecuado para […]
Seguir LeyendoEl mes pasado encontré este artículo de Dark Reading. Parecía muy familiar. No me tomó mucho tiempo darme cuenta de que la vulnerabilidad de envenenamiento de artefactos entre flujos de trabajo de GitHub que se analiza en el artículo tenía un parecido sorprendente con la vulnerabilidad de envenenamiento de caché de flujos de trabajo cruzados de GitHub que informamos en marzo de 2022. Flujos de trabajo de GitHub: un componente clave de GitHub […]
Seguir Leyendo