Blog

El enfoque tradicional para proteger los productos de software se centra en eliminar las vulnerabilidades en el código personalizado y proteger las aplicaciones contra riesgos conocidos en dependencias de terceros. Sin embargo, este método es inadecuado y no aborda todo el alcance de las amenazas que plantea la cadena de suministro de software. Descuidar asegurar todos los aspectos de esta cadena, desde la producción hasta la distribución […]

El mes pasado encontré este artículo de Dark Reading. Parecía muy familiar. No me tomó mucho tiempo darme cuenta de que la vulnerabilidad de envenenamiento de artefactos entre flujos de trabajo de GitHub que se analiza en el artículo tenía un parecido sorprendente con la vulnerabilidad de envenenamiento de caché de flujos de trabajo cruzados de GitHub que informamos en marzo de 2022. Flujos de trabajo de GitHub: un componente clave de GitHub […]

Con el uso cada vez mayor de componentes de terceros y las largas cadenas de suministro de software, los atacantes ahora pueden comprometer muchos paquetes de software simultáneamente mediante un único exploit. En respuesta a este nuevo vector de ataque, más equipos de desarrollo y DevOps, así como profesionales de seguridad, buscan incorporar una Lista de materiales de software (SBOM). La cadena de suministro de software […]

Los riesgos que enfrentan las cadenas de suministro de software han ocupado su lugar en la vanguardia de las conversaciones en el ecosistema de ciberseguridad. Esto se debe en parte a la mayor frecuencia de estos ataques a la cadena de suministro, pero también a los impactos potencialmente de gran alcance que tienen cuando ocurren. Las cifras de 2021 mostraron ataques a la cadena de suministro de software […]

La cadena de suministro global de software siempre está amenazada por ciberdelincuentes que amenazan con robar información confidencial o propiedad intelectual y comprometer la integridad del sistema. Estos problemas pueden afectar a las empresas comerciales, así como a la capacidad del gobierno para prestar servicios al público de forma segura y confiable. La Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) […]

Cuando tres agencias gubernamentales de EE. UU. se reúnen para “alentar firmemente” a los desarrolladores a adoptar ciertas prácticas, se debe prestar atención. La CISA, la NSA y la ODNI, reconociendo la amenaza de los ciberpiratas y tras el ataque de SolarWinds, anunciaron que publicarán conjuntamente una colección de recomendaciones para asegurar el suministro de software […]

El gobierno de Estados Unidos está en el proceso de renovar sus políticas de ciberseguridad. Esto incluye el lanzamiento de la versión 1.1 del Marco de desarrollo de software seguro (SSDF) por parte del Instituto Nacional de Estándares y Tecnología (NIST), cuyo objetivo es reducir las vulnerabilidades de seguridad en todo el ciclo de vida de desarrollo de software (SDLC). El documento proporciona a los proveedores y adquirentes de software “un […]

Se encontró un nuevo ataque a la cadena de suministro de software diseñado para extraer datos de aplicaciones y sitios web en más de dos docenas de paquetes NPM.

GitGat es un conjunto de políticas OPA (Agente de Política Abierta) autónomas escritas en Rego. GitGat evalúa la configuración de seguridad de su cuenta SCM y le proporciona un informe de estado y recomendaciones prácticas.

No puede confiar en los productos firmados y las actualizaciones de los proveedores y es posible que su propio código ya haya sido modificado o agregado. Entonces, ¿qué puede hacer para estar seguro de que no está instalando archivos maliciosos en su sistema?