״Los proveedores de software deben ser considerados responsables cuando no cumplen con el deber de diligencia que deben a los consumidores, empresas o proveedores de infraestructura crítica ״(la Casa Blanca). Hoy en día, se espera que cualquier proveedor de software asuma una mayor responsabilidad para garantizar la integridad y seguridad del software a través de acuerdos contractuales, lanzamientos y actualizaciones de software, notificaciones y […]
Seguir LeyendoTL;DR En los últimos años, la industria tecnológica ha defendido fervientemente el concepto de "giro a la izquierda" en el desarrollo de software, abogando por la integración temprana de las prácticas de seguridad en el ciclo de vida del desarrollo. Este movimiento tiene como objetivo empoderar a los desarrolladores con la responsabilidad de garantizar la seguridad de su código desde el inicio del proyecto. Sin embargo, si bien las intenciones detrás de este enfoque son […]
Seguir LeyendoLa industria aún no ha comprendido completamente la idea de un SBOM y ya comenzamos a escuchar un nuevo término: ML-BOM (Machine Learning Bill of Material). Antes de que cueste el pánico, comprendamos por qué se debe producir una lista de materiales de este tipo, los desafíos que implica generar una lista de materiales de ML y cómo puede verse dicha lista de materiales. […]
Seguir LeyendoUno de los riesgos de la cadena de suministro de software es la filtración de secretos. Los secretos están por todas partes en la cadena de suministro de software; los desarrolladores y las canalizaciones de CI\CD necesitan utilizar secretos para acceder al SCM, la canalización, los registros de artefactos, los entornos de nube y los servicios externos. Y cuando los secretos están por todas partes, es cuestión de tiempo […]
Seguir LeyendoA principios de agosto, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó un borrador de la versión 2.0 de su emblemático Marco de Seguridad Cibernética, publicado por primera vez en 2014. Muchas cosas han cambiado en los últimos 10 años, entre ellas el creciente nivel de amenazas a la ciberseguridad que el documento original estableció para ayudar a los críticos […]
Seguir LeyendoTodos hemos oído hablar mucho de los SBOM recientemente. Escuchamos sobre su utilidad, su composición y sus requisitos de seguridad y regulación. Esta vez quiero tomarme el tiempo para hablar sobre un segmento un poco menos conocido del SBOM de CyclonDX: el gráfico de dependencia. A diferencia del nombre lo implica, el gráfico de dependencia no es un […]
Seguir LeyendoEn los últimos años se han escrito muchas palabras sobre la SBOM (Software Bill Of Materials). Con toda esta exposición, la gente siente que saben lo suficientemente bien lo que es explicar: es una lista de ingredientes del software, es importante para la transparencia y la seguridad, y ayuda a exponer las dependencias transitorias. Todo […]
Seguir LeyendoValint es la principal herramienta de Scribe para crear, gestionar, firmar y verificar pruebas. En una publicación anterior, cubrimos la teoría del uso de la firma y verificación de evidencia como herramienta principal para validar la seguridad de su proceso de CI/CD. Como breve recordatorio, el modelo propuesto por Scribe incluye varios bloques de construcción que se pueden mezclar y […]
Seguir LeyendoEn septiembre de 2022, la Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) emitió un memorando histórico sobre los pasos necesarios para asegurar su cadena de suministro de software en un grado aceptable por el gobierno federal de los Estados Unidos. Cualquier empresa que desee hacer negocios con el gobierno y cualquier agencia federal que produzca software debe cumplir con […]
Seguir LeyendoLos análisis CVE (vulnerabilidades y exposiciones comunes) son esenciales para proteger sus aplicaciones de software. Sin embargo, con la creciente complejidad de las pilas de software, identificar y abordar todos los CVE puede resultar un desafío. Uno de los mayores problemas con los escaneos CVE hoy en día es la prevalencia de falsos positivos, donde se identifica una vulnerabilidad en un paquete que no es […]
Seguir Leyendo