Blog

Uno de los riesgos de la cadena de suministro de software es la filtración de secretos. Los secretos están por todas partes en la cadena de suministro de software; los desarrolladores y las canalizaciones de CI\CD necesitan utilizar secretos para acceder al SCM, la canalización, los registros de artefactos, los entornos de nube y los servicios externos. Y cuando los secretos están por todas partes, es cuestión de tiempo […]

A principios de agosto, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó un borrador de la versión 2.0 de su emblemático Marco de Seguridad Cibernética, publicado por primera vez en 2014. Muchas cosas han cambiado en los últimos 10 años, entre ellas el creciente nivel de amenazas a la ciberseguridad que el documento original estableció para ayudar a los críticos […]

Todos hemos oído hablar mucho de los SBOM recientemente. Escuchamos sobre su utilidad, su composición y sus requisitos de seguridad y regulación. Esta vez quiero tomarme el tiempo para hablar sobre un segmento un poco menos conocido del SBOM de CyclonDX: el gráfico de dependencia. A diferencia del nombre lo implica, el gráfico de dependencia no es un […]

En los últimos años se han escrito muchas palabras sobre la SBOM (Software Bill Of Materials). Con toda esta exposición, la gente siente que saben lo suficientemente bien lo que es explicar: es una lista de ingredientes del software, es importante para la transparencia y la seguridad, y ayuda a exponer las dependencias transitorias. Todo […]

Valint es la principal herramienta de Scribe para crear, gestionar, firmar y verificar pruebas. En una publicación anterior, cubrimos la teoría del uso de la firma y verificación de evidencia como herramienta principal para validar la seguridad de su proceso de CI/CD. Como breve recordatorio, el modelo propuesto por Scribe incluye varios bloques de construcción que se pueden mezclar y […]

En septiembre de 2022, la Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) emitió un memorando histórico sobre los pasos necesarios para asegurar su cadena de suministro de software en un grado aceptable por el gobierno federal de los Estados Unidos. Cualquier empresa que desee hacer negocios con el gobierno y cualquier agencia federal que produzca software debe cumplir con […]

Los análisis CVE (vulnerabilidades y exposiciones comunes) son esenciales para proteger sus aplicaciones de software. Sin embargo, con la creciente complejidad de las pilas de software, identificar y abordar todos los CVE puede resultar un desafío. Uno de los mayores problemas con los escaneos CVE hoy en día es la prevalencia de falsos positivos, donde se identifica una vulnerabilidad en un paquete que no es […]

En marzo de 2023, la Casa Blanca publicó una nueva Estrategia Nacional de Ciberseguridad. La estrategia describe una lista de cinco pilares que la Casa Blanca considera fundamentales para mejorar la ciberseguridad de todos los estadounidenses, tanto del sector público como del privado. El tercer pilar se ocupa del impulso para configurar las fuerzas del mercado para mejorar la seguridad y la resiliencia. Parte de eso […]

En abril de 2023, CISA publicó una nueva guía conjunta para la seguridad del software llamada Cambiar el equilibrio del riesgo de ciberseguridad: principios de seguridad por diseño y predeterminados. La Guía se compuso con la cooperación de 9 agencias diferentes, incluida la NSA, el Centro Australiano de Seguridad Cibernética (ACSC) y la Oficina Federal de Seguridad de la Información (BSI) de Alemania, entre otras. El hecho de que […]

El 20 de marzo, OpenAI eliminó la popular herramienta de inteligencia artificial generativa ChatGPT durante unas horas. Más tarde admitió que el motivo de la interrupción fue una vulnerabilidad en la cadena de suministro de software que se originó en la biblioteca de almacenamiento de datos en memoria de código abierto 'Redis'. Como resultado de esta vulnerabilidad, hubo una ventana de tiempo (entre la 1 y las 10 a.m. […]