हमारे ब्लॉग

आपका वाइब कोडिंग प्रोजेक्ट कमज़ोरियों से भरा है! एआई से सॉफ़्टवेयर बनाना अब विज्ञान कथा से रोज़मर्रा की हकीकत बन गया है। आपका एआई-कोडेड प्रोजेक्ट तब तक पूरी तरह से काम कर सकता है... जब तक हैकर्स इसमें खामियाँ नहीं ढूंढ लेते। इस पोस्ट में, हम एआई-जनरेटेड कोड से लेकर कमज़ोरियों से भरे एक विश्वसनीय उत्पाद तक के सफ़र को […]

एक डेवलपर पर काम के बोझ की कल्पना कीजिए: कोडिंग का एक लंबा दिन, समय सीमाएँ सामने, और फिर आती है भयावह SAST रिपोर्ट। सैकड़ों निष्कर्ष, हर एक संभावित कमज़ोरी, और हर एक पर सावधानीपूर्वक ध्यान देने की आवश्यकता। यह प्रक्रिया दोहरावदार, समय लेने वाली और, सच कहें तो, कभी-कभी मनोबल गिराने वाली होती है। और स्थिति और भी बदतर होती जा रही है; कोड जनरेशन […]

यह लेख विक्टर कार्तशोव और डैनियल नेबेनज़हल के साथ मिलकर लिखा गया था। ऑडिटर का लिटमस टेस्ट: क्या आप अपने निर्माणों को साबित कर सकते हैं? "क्या आप निश्चित रूप से साबित कर सकते हैं कि आपके द्वारा भेजी गई प्रत्येक कंटेनर छवि ठीक उसी तरह बनाई गई थी जैसा आप दावा करते हैं?" ज़्यादातर ऑडिटर एक त्वरित, विश्वसनीय उत्तर की अपेक्षा करते हैं - हफ़्तों तक चलने वाले YAML रीफैक्टरिंग की नहीं। SLSA (आपूर्ति-श्रृंखला स्तर […]

विक्टर कार्तशोव के साथ सह-लिखित। NIST SP 800–190 मानक सुरक्षित कंटेनरीकृत अनुप्रयोगों के लिए संरचित दिशा-निर्देश प्रदान करता है, जिसमें छवि उद्गम से लेकर रनटाइम नियंत्रण तक सब कुछ शामिल है। जैसे-जैसे कंटेनर का उपयोग तेज़ गति वाले DevOps वातावरण में बढ़ता है, इन आवश्यकताओं के साथ तालमेल बिठाना आवश्यक और चुनौतीपूर्ण दोनों हो जाता है। लेकिन यहाँ SP 800–190 सिर्फ़ एक उपयोग का मामला है। बड़ा विचार यह है कि […]

इन-टोटो क्या है और यह सॉफ्टवेयर सप्लाई चेन की सुरक्षा कैसे करता है? हाल के वर्षों में देखे गए सॉफ्टवेयर सप्लाई चेन हमलों - 3CX, कोडकोव और सोलरविंड्स - ने पारंपरिक विकास पाइपलाइनों की कमज़ोरी को उजागर किया है। जवाब में, ओपन-सोर्स समुदाय ने इन-टोटो विकसित किया, जो सॉफ्टवेयर डिलीवरी के हर चरण में अखंडता सुनिश्चित करने के लिए एक ढांचा है। इन-टोटो […]

आज के सॉफ़्टवेयर विकास परिदृश्य में, डेवलपर प्रोफ़ाइल की विविधता एक ताकत और एक कमजोरी दोनों है। संलग्न वर्गीकरण - अच्छी मंशा वाले लेकिन अपूर्ण "अच्छे डेवलपर्स" से लेकर AI-जनरेटेड कोड का उपयोग करने वाले "नागरिक डेवलपर्स" और यहां तक ​​कि "दुर्भावनापूर्ण डेवलपर्स" तक - इस बात पर प्रकाश डालता है कि अनुभव, इरादे और व्यवहार के विभिन्न स्तर महत्वपूर्ण सॉफ़्टवेयर विकास जीवनचक्र (SDLC) जोखिम कैसे पैदा कर सकते हैं। स्क्राइब सिक्योरिटी संबोधित करती है […]

स्क्राइब सिक्योरिटी में, हम मानते हैं कि साइबर सुरक्षा का भविष्य सॉफ्टवेयर आपूर्ति श्रृंखलाओं को अंदर से बाहर तक सुरक्षित करने पर टिका है। इसलिए हमें नेशनल साइबरसिक्योरिटी सेंटर ऑफ एक्सीलेंस (NCCoE) के साथ इसके सॉफ्टवेयर सप्लाई चेन और DevOps सुरक्षा अभ्यास परियोजना पर सहयोग करने पर गर्व है। यह पहल सार्वजनिक और निजी क्षेत्र के प्रौद्योगिकी योगदानकर्ताओं को यह पता लगाने के लिए बुलाती है कि कैसे […]

अधिकांश सॉफ़्टवेयर संगठन कोड प्रबंधन, निर्माण, रजिस्ट्री, डिलीवरी और परिनियोजन के लिए कई प्लेटफ़ॉर्म का उपयोग करते हैं। SDLC और सॉफ़्टवेयर आपूर्ति श्रृंखला की सुरक्षा को नियंत्रित करने के लिए एक एकीकृत प्लेटफ़ॉर्म की आवश्यकता होती है जो GitHub की मूल क्षमताओं से परे हो। प्रभावी जोखिम प्रबंधन के लिए कोड से क्लाउड तक स्पष्ट पता लगाने और शासन की आवश्यकता होती है - यह सुनिश्चित करना कि प्रत्येक कंटेनर छवि और रिलीज़ की गई कलाकृति […]

संघीय सॉफ्टवेयर सुरक्षा का परिदृश्य एक महत्वपूर्ण परिवर्तन से गुजर रहा है। जनवरी 2025 में, व्हाइट हाउस ने संघीय एजेंसियों द्वारा उपयोग की जाने वाली तृतीय-पक्ष सॉफ़्टवेयर आपूर्ति श्रृंखलाओं की सुरक्षा और पारदर्शिता को मजबूत करने पर ध्यान केंद्रित करते हुए एक नया कार्यकारी आदेश जारी किया। यह आदेश महत्वपूर्ण परिवर्तन प्रस्तुत करता है जिसे सॉफ़्टवेयर प्रदाताओं को समझने और तैयार होने की आवश्यकता है, विशेष रूप से […]

आज के तेजी से विकसित हो रहे सॉफ्टवेयर विकास परिदृश्य में, सुरक्षा और अनुपालन सर्वोपरि हो गए हैं। चूंकि संगठन तीसरे पक्ष के घटकों और ओपन-सोर्स सॉफ़्टवेयर पर अधिक से अधिक निर्भर होते जा रहे हैं, इसलिए आपके सॉफ़्टवेयर के अंदर क्या है, यह समझना पहले से कहीं अधिक महत्वपूर्ण हो गया है। सॉफ़्टवेयर बिल ऑफ़ मटेरियल (SBOM) दर्ज करें - आपके सॉफ़्टवेयर को बनाने वाले सभी घटकों, लाइब्रेरी और निर्भरताओं की एक विस्तृत सूची। SBOM को एकीकृत करना […]