La chaîne mondiale d'approvisionnement en logiciels est toujours menacée par les cybercriminels qui menacent de voler des informations sensibles ou des propriétés intellectuelles et de compromettre l'intégrité du système. Ces problèmes peuvent avoir un impact sur les entreprises commerciales ainsi que sur la capacité du gouvernement à fournir des services au public de manière sécurisée et fiable. L'Office of Management and Budget (OMB) des États-Unis […]
En savoir plus.Lorsque trois agences gouvernementales américaines se réunissent pour « encourager fortement » les développeurs à adopter certaines pratiques, il faut y prêter attention. La CISA, la NSA et l'ODNI, conscientes de la menace des cyberpirates et à la suite de l'attaque de SolarWinds, ont annoncé qu'elles publieraient conjointement un ensemble de recommandations pour sécuriser l'approvisionnement en logiciels […]
En savoir plus.Le gouvernement américain est en train de repenser sa politique de cybersécurité. Cela inclut la publication de Secure Software Development Framework (SSDF) version 1.1 par le National Institute of Standards and Technology (NIST), qui vise à réduire les vulnérabilités de sécurité tout au long du cycle de vie du développement logiciel (SDLC). Le document fournit aux éditeurs de logiciels et aux acquéreurs « un […]
En savoir plus.Une nouvelle attaque contre la chaîne d'approvisionnement logicielle conçue pour extraire des données d'applications et de sites Web a été découverte dans plus de deux douzaines de packages NPM.
En savoir plus.GitGat est un ensemble de politiques OPA (Open Policy Agent) autonomes écrites en Rego. GitGat évalue les paramètres de sécurité de votre compte SCM et vous fournit un rapport d'état et des recommandations exploitables.
En savoir plus.Vous ne pouvez pas faire confiance aux produits signés et aux mises à jour des fournisseurs et votre propre code peut avoir déjà été modifié ou ajouté. Alors, que pouvez-vous faire pour être vraiment certain que vous n’installez pas de fichiers malveillants sur votre système ?
En savoir plus.Le 22 mars, le NIST a publié la version finale du SSDF 1.1 (Secure Software Development Framework). Nous examinerons certaines des différences entre la version finale et la version précédente.
En savoir plus.Savez-vous ce qui se passe sous le capot de votre CI ? Sans une compréhension approfondie, vous pourriez être vulnérable aux attaques innovantes de la chaîne d’approvisionnement. Cet article décrit une telle attaque.
En savoir plus.L'assurance continue collecte de manière granulaire des preuves sur tous les événements du cycle de vie du développement, y compris la création du produit et le déploiement, susceptibles d'affecter la sécurité du produit logiciel final.
En savoir plus.Le Secure Software Development Framework (SSDF) du NIST favorise la transparence et les mesures inviolables pour réduire le risque d'intervention malveillante et l'exposition aux vulnérabilités dans le cycle de vie du développement logiciel.
En savoir plus.