Cyber ​​Risque

Alors que tout le monde en prend progressivement conscience, la protection de vos chaînes d'approvisionnement en logiciels devrait être un élément essentiel de la stratégie de cybersécurité de chaque organisation. L’une des principales difficultés liées à la création d’une stratégie globale visant à atténuer les menaces liées à la chaîne d’approvisionnement logicielle réside dans la complexité et la diversité des chaînes d’approvisionnement. Chaque chaîne d'approvisionnement est unique et les éléments […]

Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]

Les pipelines CI/CD sont notoirement opaques quant à ce qui se passe exactement à l’intérieur. Même si c'est vous qui avez écrit le fichier de configuration YAML (la liste d'instructions du pipeline), comment pouvez-vous être sûr que tout se déroule exactement comme décrit ? Pire encore, la plupart des pipelines sont complètement éphémères, donc même si quelque chose de grave se produit, il n'y a pas de […]

OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]

Les cyberattaques réussies contre les produits matériels et logiciels deviennent extrêmement fréquentes. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec le décret présidentiel […]

Des pipelines automatisés CI/CD (Continuous Integration/Continuous Delivery) sont utilisés pour accélérer le développement. C'est génial d'avoir des déclencheurs ou une planification qui prennent votre code, le fusionnent, le construisent, le testent et l'expédient automatiquement. Cependant, ayant été construits pour la rapidité et la facilité d'utilisation, la plupart des pipelines ne sont pas intrinsèquement construits avec une sécurité dans […]

Le rythme auquel de nouvelles vulnérabilités sont révélées ne cesse d’augmenter. Il s'élève actuellement à une moyenne de 15,000 2022 CVE par an. L’année 26,000 se démarque avec plus de XNUMX XNUMX nouveaux CVE signalés. Évidemment, toutes les vulnérabilités ne concernent pas votre logiciel. Pour déterminer si une vulnérabilité particulière pose problème, vous devez d'abord comprendre [...]

Malgré l'adoption croissante de la nomenclature logicielle (SBOM) comme outil de gestion des vulnérabilités et de cybersécurité, de nombreuses organisations ont encore du mal à comprendre les deux formats SBOM les plus populaires utilisés aujourd'hui, SPDX et CycloneDX. Dans cet article, nous comparerons ces deux formats pour vous aider à choisir le bon pour […]

Le mois dernier, je suis tombé sur cet article de Dark Reading. Cela semblait très familier. Il ne m'a pas fallu longtemps pour réaliser que la vulnérabilité d'empoisonnement des artefacts entre workflows de GitHub évoquée dans l'article présentait une ressemblance frappante avec la vulnérabilité d'empoisonnement du cache entre workflows de GitHub dont nous avons parlé en mars 2022. Workflows GitHub : un composant clé de GitHub […]

Avec l’utilisation croissante de composants tiers et la longueur des chaînes d’approvisionnement en logiciels, les attaquants peuvent désormais compromettre plusieurs progiciels simultanément via un seul exploit. En réponse à ce nouveau vecteur d'attaque, davantage d'équipes de développement et DevOps, ainsi que de professionnels de la sécurité, cherchent à intégrer une nomenclature logicielle (SBOM). La chaîne d'approvisionnement en logiciels […]