Cyber ​​Risque

Cyber ​​RisqueUne image représentant le graphe de dépendance
Mikey Strauss Graphique de dépendance CycloneDX SBOM – À quoi sert-il ?

Nous avons tous beaucoup entendu parler des SBOM récemment. Nous avons entendu parler de leur utilité, de leur composition et de leurs exigences en matière de sécurité et de réglementation. Cette fois, je veux prendre le temps de parler d'un segment un peu moins connu du SBOM CyclonDX : le Dependency Graph. Contrairement à son nom, le Dependency Graph n'est pas un […]

En savoir plus.
Cyber ​​RisqueUne image d'un puzzle cassé
Barak Brudo Signature SBOM : résoudre un puzzle en constante évolution

Beaucoup de mots ont été écrits ces dernières années sur le SBOM – Software Bill Of Materials. Avec toute cette exposition, les gens ont le sentiment de savoir assez bien ce qu'il faut expliquer : il s'agit d'une liste d'ingrédients logiciels, c'est important pour la transparence et la sécurité, et cela permet d'exposer les dépendances transitoires. Tous […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Utiliser Valint pour appliquer des politiques à votre SDLC

Valint est le principal outil Scribe pour créer, gérer, signer et vérifier des preuves. Dans un article précédent, nous avons abordé la théorie de l'utilisation des preuves de signature et de vérification comme outil principal pour valider la sécurité de votre pipeline CI/CD. Pour rappel, le modèle proposé par Scribe comprend plusieurs éléments de base qui peuvent être mélangés et […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Formulaire commun d'auto-attestation de logiciel sécurisé de CISA : un tournant en matière de responsabilité

En septembre 2022, l'Office of Management and Budget (OMB) des États-Unis a publié une note historique concernant les étapes nécessaires pour sécuriser votre chaîne d'approvisionnement en logiciels à un degré acceptable par le gouvernement fédéral américain. Toute entreprise souhaitant faire affaire avec le gouvernement et toute agence fédérale produisant des logiciels doit se conformer à […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Comment éviter l’épuisement des CVE et la fatigue des alertes lors des analyses de vulnérabilité ?

Les analyses CVE (Common Vulnerabilities and Exposures) sont essentielles à la sécurisation de vos applications logicielles. Cependant, avec la complexité croissante des piles logicielles, identifier et traiter tous les CVE peut s'avérer difficile. L'un des plus gros problèmes des analyses CVE aujourd'hui est la prévalence des faux positifs, où une vulnérabilité est identifiée dans un package qui n'est pas [...]

En savoir plus.
Cyber ​​RisqueUne image représentant la sphère de sécurité
Barak Brudo Offrir une sphère de sécurité contre la responsabilité aux producteurs de logiciels

En mars 2023, la Maison Blanche a publié une nouvelle stratégie nationale de cybersécurité. La stratégie présente une liste de 5 piliers que la Maison Blanche considère comme essentiels pour améliorer la cybersécurité pour tous les Américains, tant dans le secteur public que privé. Le troisième pilier concerne la volonté de façonner les forces du marché pour améliorer la sécurité et la résilience. Une partie de cela […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Tracer l'avenir du SBOM : aperçus du nouveau guide de la CISA : Changer l'équilibre des risques de cybersécurité

En avril 2023, la CISA a publié un nouveau guide conjoint sur la sécurité des logiciels intitulé Shifting the Balance of Cybersecurity Risk : Security-by-Design and Default Principles. Le guide a été rédigé avec la coopération de 9 agences différentes, dont la NSA, l'Australian Cyber ​​Security Center (ACSC) et l'Office fédéral allemand pour la sécurité de l'information (BSI), entre autres. Le fait que […]

En savoir plus.
Cyber ​​RisqueUne image illustrant l’IA tourne mal
Barak Brudo Que se passe-t-il lorsqu'une entreprise d'IA est victime d'une vulnérabilité de la chaîne d'approvisionnement logicielle

Le 20 mars, OpenAI a supprimé le populaire outil d'IA générative ChatGPT pendant quelques heures. Il a admis plus tard que la raison de la panne était une vulnérabilité de la chaîne d'approvisionnement logicielle provenant de la bibliothèque open source de stockage de données en mémoire « Redis ». En raison de cette vulnérabilité, il y avait une fenêtre horaire (entre 1h et 10h) […]

En savoir plus.
Cyber ​​RisqueUne image abstraite du partage de documents
Barak Brudo Ce que nous pouvons apprendre du rapport sur le cycle de vie du partage SBOM de CISA

En avril 2023, le DHS, le CISA, le DOE et le CESER ont publié un rapport intitulé « Software Bill of Materials (SBOM) Sharing Lifecycle Report ». Le but du rapport était d'examiner les manières actuelles dont les gens partagent les SBOM ainsi que de décrire, en termes généraux, comment ce partage pourrait être amélioré, avec une plus grande sophistication pour […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Du chaos à la clarté : comment sécuriser votre chaîne d'approvisionnement avec des attestations

Alors que tout le monde en prend progressivement conscience, la protection de vos chaînes d'approvisionnement en logiciels devrait être un élément essentiel de la stratégie de cybersécurité de chaque organisation. L’une des principales difficultés liées à la création d’une stratégie globale visant à atténuer les menaces liées à la chaîne d’approvisionnement logicielle réside dans la complexité et la diversité des chaînes d’approvisionnement. Chaque chaîne d'approvisionnement est unique et les éléments […]

En savoir plus.
1 2 3 4 5