हमारे ब्लॉग

स्टेटिक रिपोर्ट से लेकर कन्वर्सेशनल सिक्योरिटी तक, आज सुरक्षा टीमें डेटा में डूबी हुई हैं: एसबीओएम, सीवीई, एक्सएएसटी परिणाम, अनुपालन जाँच और जोखिम डैशबोर्ड। लेकिन जानकारियाँ अक्सर डैशबोर्ड में ही बंद रहती हैं, जिन्हें क्वेरी करना केवल कुछ ही विशेषज्ञ जानते हैं। स्क्राइब सिक्योरिटी में, हमारा मानना ​​है कि आपका सुरक्षा डेटा बातचीत जितना ही सुलभ होना चाहिए। इसीलिए […]

लगभग हर इंजीनियरिंग टीम में इसकी शुरुआत एक जैसी ही होती है। डेवलपर्स तेज़ी से आगे बढ़ रहे हैं, फ़ीचर बना रहे हैं, थर्ड-पार्टी पैकेजेज़ को इंटीग्रेट कर रहे हैं, और अब, AI को-पायलट्स के साथ कोड लिख रहे हैं। CI/CD पाइपलाइन दिन-रात तेज़ी से काम कर रही हैं, अपडेट्स को पहले से कहीं ज़्यादा तेज़ी से प्रोडक्शन में भेज रही हैं। ग्राहक इस गति से खुश हैं। लेकिन हर CISO के मन में […]

आपका वाइब कोडिंग प्रोजेक्ट कमज़ोरियों से भरा है! एआई से सॉफ़्टवेयर बनाना अब विज्ञान कथा से रोज़मर्रा की हकीकत बन गया है। आपका एआई-कोडेड प्रोजेक्ट तब तक पूरी तरह से काम कर सकता है... जब तक हैकर्स इसमें खामियाँ नहीं ढूंढ लेते। इस पोस्ट में, हम एआई-जनरेटेड कोड से लेकर कमज़ोरियों से भरे एक विश्वसनीय उत्पाद तक के सफ़र को […]

एक डेवलपर पर काम के बोझ की कल्पना कीजिए: कोडिंग का एक लंबा दिन, समय सीमाएँ सामने, और फिर आती है भयावह SAST रिपोर्ट। सैकड़ों निष्कर्ष, हर एक संभावित कमज़ोरी, और हर एक पर सावधानीपूर्वक ध्यान देने की आवश्यकता। यह प्रक्रिया दोहरावदार, समय लेने वाली और, सच कहें तो, कभी-कभी मनोबल गिराने वाली होती है। और स्थिति और भी बदतर होती जा रही है; कोड जनरेशन […]

यह लेख विक्टर कार्तशोव और डैनियल नेबेनज़हल के साथ मिलकर लिखा गया था। ऑडिटर का लिटमस टेस्ट: क्या आप अपने निर्माणों को साबित कर सकते हैं? "क्या आप निश्चित रूप से साबित कर सकते हैं कि आपके द्वारा भेजी गई प्रत्येक कंटेनर छवि ठीक उसी तरह बनाई गई थी जैसा आप दावा करते हैं?" ज़्यादातर ऑडिटर एक त्वरित, विश्वसनीय उत्तर की अपेक्षा करते हैं - हफ़्तों तक चलने वाले YAML रीफैक्टरिंग की नहीं। SLSA (आपूर्ति-श्रृंखला स्तर […]

विक्टर कार्तशोव के साथ सह-लिखित। NIST SP 800–190 मानक सुरक्षित कंटेनरीकृत अनुप्रयोगों के लिए संरचित दिशा-निर्देश प्रदान करता है, जिसमें छवि उद्गम से लेकर रनटाइम नियंत्रण तक सब कुछ शामिल है। जैसे-जैसे कंटेनर का उपयोग तेज़ गति वाले DevOps वातावरण में बढ़ता है, इन आवश्यकताओं के साथ तालमेल बिठाना आवश्यक और चुनौतीपूर्ण दोनों हो जाता है। लेकिन यहाँ SP 800–190 सिर्फ़ एक उपयोग का मामला है। बड़ा विचार यह है कि […]

इन-टोटो क्या है और यह सॉफ्टवेयर सप्लाई चेन की सुरक्षा कैसे करता है? हाल के वर्षों में देखे गए सॉफ्टवेयर सप्लाई चेन हमलों - 3CX, कोडकोव और सोलरविंड्स - ने पारंपरिक विकास पाइपलाइनों की कमज़ोरी को उजागर किया है। जवाब में, ओपन-सोर्स समुदाय ने इन-टोटो विकसित किया, जो सॉफ्टवेयर डिलीवरी के हर चरण में अखंडता सुनिश्चित करने के लिए एक ढांचा है। इन-टोटो […]

आज के सॉफ़्टवेयर विकास परिदृश्य में, डेवलपर प्रोफ़ाइल की विविधता एक ताकत और एक कमजोरी दोनों है। संलग्न वर्गीकरण - अच्छी मंशा वाले लेकिन अपूर्ण "अच्छे डेवलपर्स" से लेकर AI-जनरेटेड कोड का उपयोग करने वाले "नागरिक डेवलपर्स" और यहां तक ​​कि "दुर्भावनापूर्ण डेवलपर्स" तक - इस बात पर प्रकाश डालता है कि अनुभव, इरादे और व्यवहार के विभिन्न स्तर महत्वपूर्ण सॉफ़्टवेयर विकास जीवनचक्र (SDLC) जोखिम कैसे पैदा कर सकते हैं। स्क्राइब सिक्योरिटी संबोधित करती है […]

स्क्राइब सिक्योरिटी में, हम मानते हैं कि साइबर सुरक्षा का भविष्य सॉफ्टवेयर आपूर्ति श्रृंखलाओं को अंदर से बाहर तक सुरक्षित करने पर टिका है। इसलिए हमें नेशनल साइबरसिक्योरिटी सेंटर ऑफ एक्सीलेंस (NCCoE) के साथ इसके सॉफ्टवेयर सप्लाई चेन और DevOps सुरक्षा अभ्यास परियोजना पर सहयोग करने पर गर्व है। यह पहल सार्वजनिक और निजी क्षेत्र के प्रौद्योगिकी योगदानकर्ताओं को यह पता लगाने के लिए बुलाती है कि कैसे […]

अधिकांश सॉफ़्टवेयर संगठन कोड प्रबंधन, निर्माण, रजिस्ट्री, डिलीवरी और परिनियोजन के लिए कई प्लेटफ़ॉर्म का उपयोग करते हैं। SDLC और सॉफ़्टवेयर आपूर्ति श्रृंखला की सुरक्षा को नियंत्रित करने के लिए एक एकीकृत प्लेटफ़ॉर्म की आवश्यकता होती है जो GitHub की मूल क्षमताओं से परे हो। प्रभावी जोखिम प्रबंधन के लिए कोड से क्लाउड तक स्पष्ट पता लगाने और शासन की आवश्यकता होती है - यह सुनिश्चित करना कि प्रत्येक कंटेनर छवि और रिलीज़ की गई कलाकृति […]