Blog

Votre projet de codage Vibe est infesté de vulnérabilités ! Développer des logiciels avec l'IA est passé de la science-fiction à la réalité. Votre projet codé par l'IA peut fonctionner parfaitement… jusqu'à ce que des pirates découvrent les failles. Dans cet article, nous allons aborder le chemin qui mène d'un code généré par l'IA, riche en découvertes et en vulnérabilités, à un produit fiable, en passant par […]

Imaginez la charge de travail d'un développeur : une longue journée de codage, des échéances qui approchent, et puis le redoutable rapport SAST. Des centaines de résultats, chacun représentant une vulnérabilité potentielle, exigeant une attention particulière. Le processus est répétitif, chronophage et, soyons honnêtes, parfois démoralisant. Et la situation ne fait qu'empirer ; la génération de code […]

Cet article a été co-écrit avec Viktor Kartashov et Daniel Nebenzahl. Le test décisif de l'auditeur : pouvez-vous prouver vos builds ? « Pouvez-vous prouver, de manière définitive, que chaque image de conteneur que vous expédiez a été construite exactement comme vous le prétendez ? » La plupart des auditeurs attendent une réponse rapide et sûre, et non des semaines de refactorisation YAML frénétique. Le SLSA (Supply-chain Levels for […]

Co-écrite avec Viktor Kartashov, la norme NIST SP 800–190 fournit des directives structurées pour sécuriser les applications conteneurisées, couvrant tous les aspects, de la provenance des images aux contrôles d'exécution. Face à l'explosion de l'utilisation des conteneurs dans les environnements DevOps en constante évolution, se conformer à ces exigences devient à la fois essentiel et complexe. Cependant, la norme SP 800–190 n'est ici qu'un cas d'utilisation. L'idée principale est de […]

Qu'est-ce qu'in-toto et comment protège-t-il la chaîne d'approvisionnement logicielle ? Les attaques contre la chaîne d'approvisionnement logicielle, comme celles observées ces dernières années (3CX, Codecov et Solarwinds), ont mis en évidence la fragilité des pipelines de développement traditionnels. En réponse, la communauté open source a développé in-toto, un framework garantissant l'intégrité à chaque étape de la livraison logicielle. In-toto […]

Dans le paysage actuel du développement logiciel, la diversité des profils de développeurs est à la fois une force et une vulnérabilité. La taxonomie ci-jointe – allant des « bons développeurs » bien intentionnés mais imparfaits aux « développeurs citoyens » utilisant du code généré par l'IA, en passant par les « développeurs malveillants » – met en évidence les risques importants que représentent les différents niveaux d'expérience, d'intention et de comportement tout au long du cycle de vie du développement logiciel (SDLC). Scribe Security aborde […]

Chez Scribe Security, nous sommes convaincus que l'avenir de la cybersécurité repose sur la sécurisation intégrale des chaînes d'approvisionnement logicielles. C'est pourquoi nous sommes fiers de collaborer avec le Centre national d'excellence en cybersécurité (NCCoE) sur son projet « Pratiques de sécurité de la chaîne d'approvisionnement logicielle et DevOps ». Cette initiative réunit des acteurs technologiques des secteurs public et privé pour explorer comment […]

La plupart des entreprises de logiciels utilisent plusieurs plates-formes pour la gestion, la création, l'enregistrement, la livraison et le déploiement du code. La gestion de la sécurité du cycle de développement logiciel et de la chaîne d'approvisionnement logicielle nécessite une plate-forme unifiée qui s'étend au-delà des capacités natives de GitHub. Une gestion efficace des risques exige une traçabilité et une gouvernance claires du code au cloud, garantissant que chaque image de conteneur et chaque artefact publié sont liés à […]

Le paysage de la sécurité des logiciels fédéraux connaît une transformation importante. En janvier 2025, la Maison Blanche a publié un nouveau décret visant à renforcer la sécurité et la transparence des chaînes d’approvisionnement de logiciels tiers utilisées par les agences fédérales. Ce mandat introduit des changements cruciaux que les fournisseurs de logiciels doivent comprendre et auxquels ils doivent se préparer, en particulier compte tenu de la […]

Dans le paysage actuel du développement de logiciels en constante évolution, la sécurité et la conformité sont devenues primordiales. Les entreprises s'appuyant de plus en plus sur des composants tiers et des logiciels open source, il n'a jamais été aussi crucial de comprendre ce qui se trouve à l'intérieur de vos logiciels. C'est là qu'intervient la nomenclature logicielle (SBOM) : une liste détaillée de tous les composants, bibliothèques et dépendances qui composent votre logiciel. Intégration des SBOM […]