Qu'est-ce que la porte dérobée de XZ Utils (CVE-2024-3094) ? CVE-2024-3094, publiée début avril 2024, est une porte dérobée insérée de manière malveillante dans un utilitaire Linux. Il a été détecté par Andres Freund, un ingénieur logiciel Microsoft curieux et soucieux de la sécurité, sur le point d'être intégré aux principales distributions Linux. Si cela avait réussi, un nombre inimaginable de serveurs […]
En savoir plus.Imaginez la prochaine réunion du conseil d'administration. En tant que responsable de la sécurité dans votre organisation, vous présenterez votre présentation standard avec les risques, les atténuations et les incidents. Ensuite, l'un des membres du conseil d'administration demandera : comment vous préparez-vous à protéger les nouvelles technologies d'IA et les pipelines MLOps que l'entreprise utilise déjà ? Voici votre réponse. IA […]
En savoir plus.Bienvenue dans la deuxième partie de notre série de blogs, où nous approfondissons les puissantes capacités de Valint. Dans cet article, nous nous concentrerons sur le moteur de politiques de Valint et son rôle central pour garantir la conformité tout au long de votre chaîne d'approvisionnement. Dans notre précédent article de blog, nous avons fourni un aperçu des principes de conception de Valint. Comment le moteur de politique […]
En savoir plus.Avec la complexité croissante des applications et la prolifération des menaces de sécurité, assurer la sécurité des applications logicielles est devenu un défi de taille pour les organisations. La gestion de la posture de sécurité des applications (ASPM) apparaît comme une solution à ces défis, fournissant un cadre pour améliorer la visibilité, gérer les vulnérabilités et appliquer des contrôles de sécurité tout au long du cycle de vie du développement logiciel. Le […]
En savoir plus.Les spécificités de ce qui se passe à l’intérieur des pipelines CI/CD sont tristement opaques. Même si vous avez écrit le fichier de configuration YAML, qui est la liste d'instructions du pipeline, comment pouvez-vous être certain que tout se passe exactement comme il est décrit ? Pire encore, la majorité des pipelines sont entièrement transitoires, donc même en cas de dysfonctionnement, […]
En savoir plus.Le Secure Software Development Framework (SSDF), AKA NIST SP800-218, est un ensemble de lignes directrices élaborées par le NIST en réponse au décret 14028, qui se concentre sur l'amélioration de la posture de cybersécurité des États-Unis, en particulier concernant la sécurité de la chaîne d'approvisionnement logicielle. SSDF est un cadre de bonnes pratiques, pas une norme. Bien que particulièrement pertinent pour les organisations qui […]
En savoir plus.Contexte SLSA (Supply-chain Levels for Software Artifacts) est un cadre de sécurité visant à empêcher la falsification, à améliorer l'intégrité et à sécuriser les packages et l'infrastructure. Le concept de base de SLSA est qu'un artefact logiciel ne peut être fiable que s'il répond à trois exigences : L'artefact doit avoir un document de provenance décrivant son origine et son processus de construction […]
En savoir plus.« Les éditeurs de logiciels doivent être tenus responsables lorsqu'ils ne respectent pas le devoir de diligence qu'ils ont envers les consommateurs, les entreprises ou les fournisseurs d'infrastructures critiques » (Maison Blanche). Aujourd'hui, tout fournisseur de logiciels est censé assumer une plus grande responsabilité pour garantir l'intégrité et la sécurité des logiciels par le biais d'accords contractuels, de versions et de mises à jour de logiciels, de notifications et […]
En savoir plus.TL;DR Ces dernières années, l'industrie technologique a défendu avec ferveur le concept de « virage à gauche » dans le développement de logiciels, plaidant pour une intégration précoce des pratiques de sécurité dans le cycle de vie du développement. Ce mouvement vise à donner aux développeurs la responsabilité d'assurer la sécurité de leur code dès le début du projet. Cependant, même si les intentions derrière cette approche sont […]
En savoir plus.L'industrie n'a pas encore pleinement compris l'idée d'un SBOM, et nous avons déjà commencé à entendre un nouveau terme – ML-BOM – Machine Learning Bill of Material. Avant que la panique ne s'installe, comprenons pourquoi une telle nomenclature doit être produite, les défis liés à la génération d'une ML-BOM et à quoi une telle ML-BOM peut ressembler. […]
En savoir plus.