Blog

Le mois dernier, je suis tombé sur cet article de Dark Reading. Cela semblait très familier. Il ne m'a pas fallu longtemps pour réaliser que la vulnérabilité d'empoisonnement des artefacts entre workflows de GitHub évoquée dans l'article présentait une ressemblance frappante avec la vulnérabilité d'empoisonnement du cache entre workflows de GitHub dont nous avons parlé en mars 2022. Workflows GitHub : un composant clé de GitHub […]

Avec l’utilisation croissante de composants tiers et la longueur des chaînes d’approvisionnement en logiciels, les attaquants peuvent désormais compromettre plusieurs progiciels simultanément via un seul exploit. En réponse à ce nouveau vecteur d'attaque, davantage d'équipes de développement et DevOps, ainsi que de professionnels de la sécurité, cherchent à intégrer une nomenclature logicielle (SBOM). La chaîne d'approvisionnement en logiciels […]

Les risques auxquels sont confrontées les chaînes d’approvisionnement en logiciels sont désormais au premier plan des discussions dans l’écosystème de la cybersécurité. Cela est dû en partie à la fréquence accrue de ces attaques contre la chaîne d’approvisionnement, mais également aux conséquences potentiellement considérables qu’elles ont lorsqu’elles se produisent. Les chiffres de 2021 montraient des attaques contre la chaîne d’approvisionnement logicielle […]

La chaîne mondiale d'approvisionnement en logiciels est toujours menacée par les cybercriminels qui menacent de voler des informations sensibles ou des propriétés intellectuelles et de compromettre l'intégrité du système. Ces problèmes peuvent avoir un impact sur les entreprises commerciales ainsi que sur la capacité du gouvernement à fournir des services au public de manière sécurisée et fiable. L'Office of Management and Budget (OMB) des États-Unis […]

Lorsque trois agences gouvernementales américaines se réunissent pour « encourager fortement » les développeurs à adopter certaines pratiques, il faut y prêter attention. La CISA, la NSA et l'ODNI, conscientes de la menace des cyberpirates et à la suite de l'attaque de SolarWinds, ont annoncé qu'elles publieraient conjointement un ensemble de recommandations pour sécuriser l'approvisionnement en logiciels […]

Le gouvernement américain est en train de repenser sa politique de cybersécurité. Cela inclut la publication de Secure Software Development Framework (SSDF) version 1.1 par le National Institute of Standards and Technology (NIST), qui vise à réduire les vulnérabilités de sécurité tout au long du cycle de vie du développement logiciel (SDLC). Le document fournit aux éditeurs de logiciels et aux acquéreurs « un […]

Une nouvelle attaque contre la chaîne d'approvisionnement logicielle conçue pour extraire des données d'applications et de sites Web a été découverte dans plus de deux douzaines de packages NPM.

GitGat est un ensemble de politiques OPA (Open Policy Agent) autonomes écrites en Rego. GitGat évalue les paramètres de sécurité de votre compte SCM et vous fournit un rapport d'état et des recommandations exploitables.

Vous ne pouvez pas faire confiance aux produits signés et aux mises à jour des fournisseurs et votre propre code peut avoir déjà été modifié ou ajouté. Alors, que pouvez-vous faire pour être vraiment certain que vous n’installez pas de fichiers malveillants sur votre système ?

Le 22 mars, le NIST a publié la version finale du SSDF 1.1 (Secure Software Development Framework). Nous examinerons certaines des différences entre la version finale et la version précédente.