Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]
En savoir plus.Les pipelines CI/CD sont notoirement opaques quant à ce qui se passe exactement à l’intérieur. Même si c'est vous qui avez écrit le fichier de configuration YAML (la liste d'instructions du pipeline), comment pouvez-vous être sûr que tout se déroule exactement comme décrit ? Pire encore, la plupart des pipelines sont complètement éphémères, donc même si quelque chose de grave se produit, il n'y a pas de […]
En savoir plus.OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]
En savoir plus.Les cyberattaques réussies contre les produits matériels et logiciels deviennent extrêmement fréquentes. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec le décret présidentiel […]
En savoir plus.Des pipelines automatisés CI/CD (Continuous Integration/Continuous Delivery) sont utilisés pour accélérer le développement. C'est génial d'avoir des déclencheurs ou une planification qui prennent votre code, le fusionnent, le construisent, le testent et l'expédient automatiquement. Cependant, ayant été construits pour la rapidité et la facilité d'utilisation, la plupart des pipelines ne sont pas intrinsèquement construits avec une sécurité dans […]
En savoir plus.Le rythme auquel de nouvelles vulnérabilités sont révélées ne cesse d’augmenter. Il s'élève actuellement à une moyenne de 15,000 2022 CVE par an. L’année 26,000 se démarque avec plus de XNUMX XNUMX nouveaux CVE signalés. Évidemment, toutes les vulnérabilités ne concernent pas votre logiciel. Pour déterminer si une vulnérabilité particulière pose problème, vous devez d'abord comprendre [...]
En savoir plus.Malgré l'adoption croissante de la nomenclature logicielle (SBOM) comme outil de gestion des vulnérabilités et de cybersécurité, de nombreuses organisations ont encore du mal à comprendre les deux formats SBOM les plus populaires utilisés aujourd'hui, SPDX et CycloneDX. Dans cet article, nous comparerons ces deux formats pour vous aider à choisir le bon pour […]
En savoir plus.Le mois dernier, je suis tombé sur cet article de Dark Reading. Cela semblait très familier. Il ne m'a pas fallu longtemps pour réaliser que la vulnérabilité d'empoisonnement des artefacts entre workflows de GitHub évoquée dans l'article présentait une ressemblance frappante avec la vulnérabilité d'empoisonnement du cache entre workflows de GitHub dont nous avons parlé en mars 2022. Workflows GitHub : un composant clé de GitHub […]
En savoir plus.Avec l’utilisation croissante de composants tiers et la longueur des chaînes d’approvisionnement en logiciels, les attaquants peuvent désormais compromettre plusieurs progiciels simultanément via un seul exploit. En réponse à ce nouveau vecteur d'attaque, davantage d'équipes de développement et DevOps, ainsi que de professionnels de la sécurité, cherchent à intégrer une nomenclature logicielle (SBOM). La chaîne d'approvisionnement en logiciels […]
En savoir plus.Les risques auxquels sont confrontées les chaînes d’approvisionnement en logiciels sont désormais au premier plan des discussions dans l’écosystème de la cybersécurité. Cela est dû en partie à la fréquence accrue de ces attaques contre la chaîne d’approvisionnement, mais également aux conséquences potentiellement considérables qu’elles ont lorsqu’elles se produisent. Les chiffres de 2021 montraient des attaques contre la chaîne d’approvisionnement logicielle […]
En savoir plus.