Blog

Riesgo cibernéticoImagen de dados de riesgo.
Nir Peleg Uso de SBOM y análisis de feeds para proteger su cadena de suministro de software

״Los proveedores de software deben ser considerados responsables cuando no cumplen con el deber de diligencia que deben a los consumidores, empresas o proveedores de infraestructura crítica ״(la Casa Blanca). Hoy en día, se espera que cualquier proveedor de software asuma una mayor responsabilidad para garantizar la integridad y seguridad del software a través de acuerdos contractuales, lanzamientos y actualizaciones de software, notificaciones y […]

Seguir Leyendo
Riesgo cibernéticodesplazar la imagen a la izquierda
Rubí Arbel Equilibrio sorprendente: redefinición de la seguridad del software con 'Shift Left' y SDLC Guardrails

TL;DR En los últimos años, la industria tecnológica ha defendido fervientemente el concepto de "giro a la izquierda" en el desarrollo de software, abogando por la integración temprana de las prácticas de seguridad en el ciclo de vida del desarrollo. Este movimiento tiene como objetivo empoderar a los desarrolladores con la responsabilidad de garantizar la seguridad de su código desde el inicio del proyecto. Sin embargo, si bien las intenciones detrás de este enfoque son […]

Seguir Leyendo
Riesgo cibernéticoLista de materiales de ML
Danny Nebenzahl ML-¿Qué? Comprender el concepto y los usos de ML-Bom

La industria aún no ha comprendido completamente la idea de un SBOM y ya comenzamos a escuchar un nuevo término: ML-BOM (Machine Learning Bill of Material). Antes de que cueste el pánico, comprendamos por qué se debe producir una lista de materiales de este tipo, los desafíos que implica generar una lista de materiales de ML y cómo puede verse dicha lista de materiales. […]

Seguir Leyendo
Riesgo cibernético
Danny Nebenzahl Un encuentro secreto en la cadena de suministro de software

Uno de los riesgos de la cadena de suministro de software es la filtración de secretos. Los secretos están por todas partes en la cadena de suministro de software; los desarrolladores y las canalizaciones de CI\CD necesitan utilizar secretos para acceder al SCM, la canalización, los registros de artefactos, los entornos de nube y los servicios externos. Y cuando los secretos están por todas partes, es cuestión de tiempo […]

Seguir Leyendo
Riesgo cibernéticoUna imagen de un tablero de ajedrez.
Barak Brudo ¿Qué ha cambiado en el marco de ciberseguridad 2.0 del NIST y por qué debería importarle?

A principios de agosto, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó un borrador de la versión 2.0 de su emblemático Marco de Seguridad Cibernética, publicado por primera vez en 2014. Muchas cosas han cambiado en los últimos 10 años, entre ellas el creciente nivel de amenazas a la ciberseguridad que el documento original estableció para ayudar a los críticos […]

Seguir Leyendo
Riesgo cibernéticoUna imagen que representa el gráfico de dependencia.
Mikey Strauss Gráfico de dependencia de CycloneDX SBOM: ¿para qué sirve?

Todos hemos oído hablar mucho de los SBOM recientemente. Escuchamos sobre su utilidad, su composición y sus requisitos de seguridad y regulación. Esta vez quiero tomarme el tiempo para hablar sobre un segmento un poco menos conocido del SBOM de CyclonDX: el gráfico de dependencia. A diferencia del nombre lo implica, el gráfico de dependencia no es un […]

Seguir Leyendo
Riesgo cibernéticoUna imagen de un rompecabezas roto.
Barak Brudo Firma SBOM: resolución de un rompecabezas en constante cambio

En los últimos años se han escrito muchas palabras sobre la SBOM (Software Bill Of Materials). Con toda esta exposición, la gente siente que saben lo suficientemente bien lo que es explicar: es una lista de ingredientes del software, es importante para la transparencia y la seguridad, y ayuda a exponer las dependencias transitorias. Todo […]

Seguir Leyendo
Riesgo cibernético
Barak Brudo Uso de Valint para aplicar políticas a su SDLC

Valint es la principal herramienta de Scribe para crear, gestionar, firmar y verificar pruebas. En una publicación anterior, cubrimos la teoría del uso de la firma y verificación de evidencia como herramienta principal para validar la seguridad de su proceso de CI/CD. Como breve recordatorio, el modelo propuesto por Scribe incluye varios bloques de construcción que se pueden mezclar y […]

Seguir Leyendo
Riesgo cibernético
Barak Brudo Formulario común de autocertificación de software seguro de CISA: un punto de inflexión para la responsabilidad

En septiembre de 2022, la Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) emitió un memorando histórico sobre los pasos necesarios para asegurar su cadena de suministro de software en un grado aceptable por el gobierno federal de los Estados Unidos. Cualquier empresa que desee hacer negocios con el gobierno y cualquier agencia federal que produzca software debe cumplir con […]

Seguir Leyendo
Riesgo cibernético
Barak Brudo ¿Cómo evitar el agotamiento de CVE y la fatiga de alertas en los análisis de vulnerabilidades?

Los análisis CVE (vulnerabilidades y exposiciones comunes) son esenciales para proteger sus aplicaciones de software. Sin embargo, con la creciente complejidad de las pilas de software, identificar y abordar todos los CVE puede resultar un desafío. Uno de los mayores problemas con los escaneos CVE hoy en día es la prevalencia de falsos positivos, donde se identifica una vulnerabilidad en un paquete que no es […]

Seguir Leyendo
1 2 3 4 5 6