Blog

Se utilizan canales automatizados de CI/CD (integración continua/entrega continua) para acelerar el desarrollo. Es fantástico tener activadores o programación que tomen su código, lo fusionen, lo construyan, lo prueben y lo envíen automáticamente. Sin embargo, haber sido construidos para ser rápidos y fáciles de usar significa que la mayoría de las tuberías no están construidas inherentemente con seguridad en […]

El ritmo al que se revelan nuevas vulnerabilidades aumenta constantemente. Actualmente se sitúa en una media de 15,000 CVE al año. 2022 se destaca con más de 26,000 nuevos CVE reportados. Obviamente, no todas las vulnerabilidades son relevantes para su software. Para determinar si una vulnerabilidad en particular es un problema, primero debe determinar […]

A pesar de la creciente adopción de la Lista de materiales de software (SBOM) para que sirva como herramienta de gestión de vulnerabilidades y ciberseguridad, muchas organizaciones todavía tienen dificultades para comprender los dos formatos SBOM más populares que se utilizan en la actualidad, SPDX y CycloneDX. En este artículo, compararemos estos dos formatos para ayudarlo a elegir el adecuado para […]

El enfoque tradicional para proteger los productos de software se centra en eliminar las vulnerabilidades en el código personalizado y proteger las aplicaciones contra riesgos conocidos en dependencias de terceros. Sin embargo, este método es inadecuado y no aborda todo el alcance de las amenazas que plantea la cadena de suministro de software. Descuidar asegurar todos los aspectos de esta cadena, desde la producción hasta la distribución […]

El mes pasado encontré este artículo de Dark Reading. Parecía muy familiar. No me tomó mucho tiempo darme cuenta de que la vulnerabilidad de envenenamiento de artefactos entre flujos de trabajo de GitHub que se analiza en el artículo tenía un parecido sorprendente con la vulnerabilidad de envenenamiento de caché de flujos de trabajo cruzados de GitHub que informamos en marzo de 2022. Flujos de trabajo de GitHub: un componente clave de GitHub […]

Con el uso cada vez mayor de componentes de terceros y las largas cadenas de suministro de software, los atacantes ahora pueden comprometer muchos paquetes de software simultáneamente mediante un único exploit. En respuesta a este nuevo vector de ataque, más equipos de desarrollo y DevOps, así como profesionales de seguridad, buscan incorporar una Lista de materiales de software (SBOM). La cadena de suministro de software […]

Los riesgos que enfrentan las cadenas de suministro de software han ocupado su lugar en la vanguardia de las conversaciones en el ecosistema de ciberseguridad. Esto se debe en parte a la mayor frecuencia de estos ataques a la cadena de suministro, pero también a los impactos potencialmente de gran alcance que tienen cuando ocurren. Las cifras de 2021 mostraron ataques a la cadena de suministro de software […]

La cadena de suministro global de software siempre está amenazada por ciberdelincuentes que amenazan con robar información confidencial o propiedad intelectual y comprometer la integridad del sistema. Estos problemas pueden afectar a las empresas comerciales, así como a la capacidad del gobierno para prestar servicios al público de forma segura y confiable. La Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) […]

Cuando tres agencias gubernamentales de EE. UU. se reúnen para “alentar firmemente” a los desarrolladores a adoptar ciertas prácticas, se debe prestar atención. La CISA, la NSA y la ODNI, reconociendo la amenaza de los ciberpiratas y tras el ataque de SolarWinds, anunciaron que publicarán conjuntamente una colección de recomendaciones para asegurar el suministro de software […]

El gobierno de Estados Unidos está en el proceso de renovar sus políticas de ciberseguridad. Esto incluye el lanzamiento de la versión 1.1 del Marco de desarrollo de software seguro (SSDF) por parte del Instituto Nacional de Estándares y Tecnología (NIST), cuyo objetivo es reducir las vulnerabilidades de seguridad en todo el ciclo de vida de desarrollo de software (SDLC). El documento proporciona a los proveedores y adquirentes de software “un […]