Bienvenue dans la deuxième partie de notre série de blogs, où nous approfondissons les puissantes capacités de Valint. Dans cet article, nous nous concentrerons sur le moteur de politiques de Valint et son rôle central pour garantir la conformité tout au long de votre chaîne d'approvisionnement. Dans notre précédent article de blog, nous avons fourni un aperçu des principes de conception de Valint. Comment le moteur de politique […]
Plus d'informationsAvec la complexité croissante des applications et la prolifération des menaces de sécurité, assurer la sécurité des applications logicielles est devenu un défi de taille pour les organisations. La gestion de la posture de sécurité des applications (ASPM) apparaît comme une solution à ces défis, fournissant un cadre pour améliorer la visibilité, gérer les vulnérabilités et appliquer des contrôles de sécurité tout au long du cycle de vie du développement logiciel. Le […]
Plus d'informationsLes spécificités de ce qui se passe à l’intérieur des pipelines CI/CD sont tristement opaques. Même si vous avez écrit le fichier de configuration YAML, qui est la liste d'instructions du pipeline, comment pouvez-vous être certain que tout se passe exactement comme il est décrit ? Pire encore, la majorité des pipelines sont entièrement transitoires, donc même en cas de dysfonctionnement, […]
Plus d'informationsLe Secure Software Development Framework (SSDF), AKA NIST SP800-218, est un ensemble de lignes directrices élaborées par le NIST en réponse au décret 14028, qui se concentre sur l'amélioration de la posture de cybersécurité des États-Unis, en particulier concernant la sécurité de la chaîne d'approvisionnement logicielle. SSDF est un cadre de bonnes pratiques, pas une norme. Bien que particulièrement pertinent pour les organisations qui […]
Plus d'informationsContexte SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure. Le concept de base de SLSA est qu'un artefact logiciel ne peut être fiable que s'il répond à trois exigences : L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction […]
Plus d'informations« Les éditeurs de logiciels doivent être tenus responsables lorsqu'ils ne respectent pas le devoir de diligence qu'ils ont envers les consommateurs, les entreprises ou les fournisseurs d'infrastructures critiques » (Maison Blanche). Aujourd'hui, tout fournisseur de logiciels est censé assumer une plus grande responsabilité pour garantir l'intégrité et la sécurité des logiciels par le biais d'accords contractuels, de versions et de mises à jour de logiciels, de notifications et […]
Plus d'informationsTL;DR Ces dernières années, l'industrie technologique a défendu avec ferveur le concept de « virage à gauche » dans le développement de logiciels, plaidant pour une intégration précoce des pratiques de sécurité dans le cycle de vie du développement. Ce mouvement vise à donner aux développeurs la responsabilité d'assurer la sécurité de leur code dès le début du projet. Cependant, même si les intentions derrière cette approche sont […]
Plus d'informationsL'industrie n'a pas encore pleinement compris l'idée d'un SBOM, et nous avons déjà commencé à entendre un nouveau terme – ML-BOM – Machine Learning Bill of Material. Avant que la panique ne s'installe, comprenons pourquoi une telle nomenclature doit être produite, les défis liés à la génération d'une ML-BOM et à quoi une telle ML-BOM peut ressembler. […]
Plus d'informationsL'un des risques de la chaîne d'approvisionnement en logiciels est la fuite de secrets. Les secrets sont omniprésents dans la chaîne d'approvisionnement des logiciels ; les développeurs et les pipelines CI\CD doivent utiliser des secrets pour accéder au SCM, au pipeline, aux registres d'artefacts, aux environnements cloud et aux services externes. Et quand les secrets sont partout, ce n’est qu’une question de temps […]
Plus d'informationsDébut août, l'Institut national américain des normes et technologies (NIST) a publié une version préliminaire 2.0 de son cadre de cybersécurité historique, publié pour la première fois en 2014. De nombreux changements ont eu lieu au cours des dix dernières années, notamment le niveau croissant de menaces de cybersécurité que le document original présentait pour aider les pays critiques […]
Plus d'informations