Blog

OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]

Les cyberattaques réussies contre les produits matériels et logiciels deviennent extrêmement fréquentes. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec le décret présidentiel […]

Des pipelines automatisés CI/CD (Continuous Integration/Continuous Delivery) sont utilisés pour accélérer le développement. C'est génial d'avoir des déclencheurs ou une planification qui prennent votre code, le fusionnent, le construisent, le testent et l'expédient automatiquement. Cependant, ayant été construits pour la rapidité et la facilité d'utilisation, la plupart des pipelines ne sont pas intrinsèquement construits avec une sécurité dans […]

Le rythme auquel de nouvelles vulnérabilités sont révélées ne cesse d’augmenter. Il s'élève actuellement à une moyenne de 15,000 2022 CVE par an. L’année 26,000 se démarque avec plus de XNUMX XNUMX nouveaux CVE signalés. Évidemment, toutes les vulnérabilités ne concernent pas votre logiciel. Pour déterminer si une vulnérabilité particulière pose problème, vous devez d'abord comprendre [...]

Malgré l'adoption croissante de la nomenclature logicielle (SBOM) comme outil de gestion des vulnérabilités et de cybersécurité, de nombreuses organisations ont encore du mal à comprendre les deux formats SBOM les plus populaires utilisés aujourd'hui, SPDX et CycloneDX. Dans cet article, nous comparerons ces deux formats pour vous aider à choisir le bon pour […]

L'approche traditionnelle de la sécurisation des produits logiciels se concentre sur l'élimination des vulnérabilités du code personnalisé et sur la protection des applications contre les risques connus liés aux dépendances tierces. Cependant, cette méthode est inadéquate et ne parvient pas à répondre à l’ensemble des menaces posées par la chaîne d’approvisionnement des logiciels. Négliger de sécuriser tous les aspects de cette chaîne, de la production à la distribution […]

Le mois dernier, je suis tombé sur cet article de Dark Reading. Cela semblait très familier. Il ne m'a pas fallu longtemps pour réaliser que la vulnérabilité d'empoisonnement des artefacts entre workflows de GitHub évoquée dans l'article présentait une ressemblance frappante avec la vulnérabilité d'empoisonnement du cache entre workflows de GitHub dont nous avons parlé en mars 2022. Workflows GitHub : un composant clé de GitHub […]

Avec l’utilisation croissante de composants tiers et la longueur des chaînes d’approvisionnement en logiciels, les attaquants peuvent désormais compromettre plusieurs progiciels simultanément via un seul exploit. En réponse à ce nouveau vecteur d'attaque, davantage d'équipes de développement et DevOps, ainsi que de professionnels de la sécurité, cherchent à intégrer une nomenclature logicielle (SBOM). La chaîne d'approvisionnement en logiciels […]

Les risques auxquels sont confrontées les chaînes d’approvisionnement en logiciels sont désormais au premier plan des discussions dans l’écosystème de la cybersécurité. Cela est dû en partie à la fréquence accrue de ces attaques contre la chaîne d’approvisionnement, mais également aux conséquences potentiellement considérables qu’elles ont lorsqu’elles se produisent. Les chiffres de 2021 montraient des attaques contre la chaîne d’approvisionnement logicielle […]

La chaîne mondiale d'approvisionnement en logiciels est toujours menacée par les cybercriminels qui menacent de voler des informations sensibles ou des propriétés intellectuelles et de compromettre l'intégrité du système. Ces problèmes peuvent avoir un impact sur les entreprises commerciales ainsi que sur la capacité du gouvernement à fournir des services au public de manière sécurisée et fiable. L'Office of Management and Budget (OMB) des États-Unis […]