Blog

Cyber ​​RisqueUne image abstraite du partage de documents
Barak Brudo Ce que nous pouvons apprendre du rapport sur le cycle de vie du partage SBOM de CISA

En avril 2023, le DHS, le CISA, le DOE et le CESER ont publié un rapport intitulé « Software Bill of Materials (SBOM) Sharing Lifecycle Report ». Le but du rapport était d'examiner les manières actuelles dont les gens partagent les SBOM ainsi que de décrire, en termes généraux, comment ce partage pourrait être amélioré, avec une plus grande sophistication pour […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Du chaos à la clarté : comment sécuriser votre chaîne d'approvisionnement avec des attestations

Alors que tout le monde en prend progressivement conscience, la protection de vos chaînes d'approvisionnement en logiciels devrait être un élément essentiel de la stratégie de cybersécurité de chaque organisation. L’une des principales difficultés liées à la création d’une stratégie globale visant à atténuer les menaces liées à la chaîne d’approvisionnement logicielle réside dans la complexité et la diversité des chaînes d’approvisionnement. Chaque chaîne d'approvisionnement est unique et les éléments […]

En savoir plus.
Cyber ​​RisqueUne image illustrant le code approuvé
Barak Brudo Utilisation de l’attaque de l’application de bureau 3CX pour illustrer l’importance du logiciel de signature et de vérification

Fin mars 2023, des chercheurs en sécurité ont révélé une attaque complexe de la chaîne d'approvisionnement logicielle d'un acteur malveillant contre les logiciels de communication d'entreprise de 3CX, principalement l'application de bureau d'appels vocaux et vidéo de l'entreprise. Les chercheurs ont averti que l’application était en quelque sorte un cheval de Troie et que son utilisation pourrait exposer l’organisation à un éventuel plan d’exfiltration par un acteur malveillant. […]

En savoir plus.
Cyber ​​RisqueUne image d’une personne regardant à travers un pipeline
Barak Brudo Dans quelle mesure êtes-vous sûr de ce qui se passe réellement dans votre pipeline CI/CD ? Les éléments que vous devez sécuriser et comment

Les pipelines CI/CD sont notoirement opaques quant à ce qui se passe exactement à l’intérieur. Même si c'est vous qui avez écrit le fichier de configuration YAML (la liste d'instructions du pipeline), comment pouvez-vous être sûr que tout se déroule exactement comme décrit ? Pire encore, la plupart des pipelines sont complètement éphémères, donc même si quelque chose de grave se produit, il n'y a pas de […]

En savoir plus.
Cyber ​​RisqueUne image illustrant OpenSSL
Barak Brudo L'histoire du patch OpenSSL 3.0.7 et les leçons que vous pouvez en tirer

OpenSSL est une bibliothèque de logiciels open source largement utilisée pour mettre en œuvre des communications sécurisées sur des réseaux informatiques. Dans quelle mesure est-il largement utilisé ? Eh bien, il est probable que si vous avez déjà accédé à une page Web HTTPS, vous l'avez fait via un cryptage OpenSSL. La bibliothèque fournit des fonctions et des protocoles cryptographiques pour le cryptage, le déchiffrement, l'authentification et la vérification des signatures numériques. OpenSSL peut être […]

En savoir plus.
Cyber ​​RisqueUne image illustrant le droit de l’UE
Barak Brudo Défendre vos services numériques : un aperçu de la loi européenne sur la cyber-résilience

Les cyberattaques réussies contre les produits matériels et logiciels deviennent extrêmement fréquentes. Selon Cybersecurity Ventures, la cybercriminalité a coûté au monde environ 7 2022 milliards de dollars en XNUMX. Avec un prix aussi élevé, il n’est pas étonnant que les entreprises et les gouvernements en prennent conscience. Les États-Unis ont ouvert la voie avec le décret présidentiel […]

En savoir plus.
Cyber ​​RisqueUne image illustrant le pipeline CI/CD
Barak Brudo De la vulnérabilité à la victoire : défendre votre pipeline CI/CD

Des pipelines automatisés CI/CD (Continuous Integration/Continuous Delivery) sont utilisés pour accélérer le développement. C'est génial d'avoir des déclencheurs ou une planification qui prennent votre code, le fusionnent, le construisent, le testent et l'expédient automatiquement. Cependant, ayant été construits pour la rapidité et la facilité d'utilisation, la plupart des pipelines ne sont pas intrinsèquement construits avec une sécurité dans […]

En savoir plus.
Cyber ​​Risque
Barak Brudo Quel avenir pour VEX ? Et comment cela vous affecterait-il ?

Le rythme auquel de nouvelles vulnérabilités sont révélées ne cesse d’augmenter. Il s'élève actuellement à une moyenne de 15,000 2022 CVE par an. L’année 26,000 se démarque avec plus de XNUMX XNUMX nouveaux CVE signalés. Évidemment, toutes les vulnérabilités ne concernent pas votre logiciel. Pour déterminer si une vulnérabilité particulière pose problème, vous devez d'abord comprendre [...]

En savoir plus.
Cyber ​​RisqueImage illustrant la comparaison
Barak Brudo SPDX vs CycloneDX : comparaison des formats SBOM

Malgré l'adoption croissante de la nomenclature logicielle (SBOM) comme outil de gestion des vulnérabilités et de cybersécurité, de nombreuses organisations ont encore du mal à comprendre les deux formats SBOM les plus populaires utilisés aujourd'hui, SPDX et CycloneDX. Dans cet article, nous comparerons ces deux formats pour vous aider à choisir le bon pour […]

En savoir plus.
AutresUne image illustrant la protection
Doron Péri De la sécurité des applications à la sécurité de la chaîne d’approvisionnement logicielle : une nouvelle approche est nécessaire

L'approche traditionnelle de la sécurisation des produits logiciels se concentre sur l'élimination des vulnérabilités du code personnalisé et sur la protection des applications contre les risques connus liés aux dépendances tierces. Cependant, cette méthode est inadéquate et ne parvient pas à répondre à l’ensemble des menaces posées par la chaîne d’approvisionnement des logiciels. Négliger de sécuriser tous les aspects de cette chaîne, de la production à la distribution […]

En savoir plus.
1 2 3 4 5 6