XZ यूटिल्स (CVE-2024-3094) बैकडोर क्या है? CVE-2024-3094, अप्रैल 2024 की शुरुआत में प्रकाशित, एक लिनक्स उपयोगिता में दुर्भावनापूर्ण रूप से डाला गया एक पिछला दरवाजा है। एक जिज्ञासु और सुरक्षा के प्रति जागरूक माइक्रोसॉफ्ट सॉफ्टवेयर इंजीनियर एंड्रेस फ्रायंड ने इसका पता लगाया था, जो मुख्य लिनक्स वितरण में एकीकृत होने के कगार पर था। यदि यह सफल हो जाता, तो सर्वरों की अकल्पनीय संख्या […]
अधिक पढ़ेंअगली बोर्ड बैठक की कल्पना कीजिए। आप, आपके संगठन में एक सुरक्षा नेता, अपने मानक डेक को जोखिमों, शमन और घटनाओं के साथ प्रस्तुत करेंगे। फिर, बोर्ड के सदस्यों में से एक पूछेगा: आप नई एआई प्रौद्योगिकियों और एमएलओपीएस पाइपलाइनों की सुरक्षा के लिए कैसे तैयारी कर रहे हैं जिनका कंपनी पहले से ही उपयोग कर रही है? यहाँ आपका उत्तर है. एआई […]
अधिक पढ़ेंहमारी ब्लॉग श्रृंखला के दूसरे भाग में आपका फिर से स्वागत है, जहां हम वैलिन्ट की शक्तिशाली क्षमताओं के बारे में गहराई से चर्चा करेंगे। इस लेख में, हम वैलिंट के नीति इंजन और आपकी आपूर्ति श्रृंखला में अनुपालन सुनिश्चित करने में इसकी महत्वपूर्ण भूमिका पर ध्यान केंद्रित करेंगे। हमारे पिछले ब्लॉग पोस्ट में, हमने वैलिन्ट के डिज़ाइन सिद्धांतों का एक सिंहावलोकन प्रदान किया था। नीति इंजन कैसे […]
अधिक पढ़ेंअनुप्रयोगों की बढ़ती जटिलता और सुरक्षा खतरों के प्रसार के साथ, सॉफ़्टवेयर अनुप्रयोगों की सुरक्षा सुनिश्चित करना संगठनों के लिए एक महत्वपूर्ण चुनौती बन गई है। एप्लिकेशन सिक्योरिटी पोस्चर मैनेजमेंट (एएसपीएम) इन चुनौतियों के समाधान के रूप में उभरता है, जो दृश्यता में सुधार, कमजोरियों को प्रबंधित करने और सॉफ्टवेयर विकास जीवनचक्र में सुरक्षा नियंत्रण लागू करने के लिए एक रूपरेखा प्रदान करता है। यह […]
अधिक पढ़ेंसीआई/सीडी पाइपलाइनों के अंदर क्या होता है इसकी विशिष्टताएँ कुख्यात रूप से अपारदर्शी हैं। YAML कॉन्फ़िगरेशन फ़ाइल, जो कि निर्देशों की पाइपलाइन सूची है, लिखने के बावजूद, आप यह कैसे सुनिश्चित कर सकते हैं कि सब कुछ ठीक उसी तरह होता है जैसा कि वर्णित है? इससे भी बदतर, अधिकांश पाइपलाइनें पूरी तरह से अस्थायी हैं, इसलिए खराबी की स्थिति में भी, […]
अधिक पढ़ेंसिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ), उर्फ एनआईएसटी एसपी800-218, कार्यकारी आदेश 14028 के जवाब में एनआईएसटी द्वारा विकसित दिशानिर्देशों का एक सेट है, जो विशेष रूप से सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा के संबंध में संयुक्त राज्य अमेरिका की साइबर सुरक्षा स्थिति को बढ़ाने पर केंद्रित है। एसएसडीएफ एक सर्वोत्तम अभ्यास ढांचा है, मानक नहीं। जबकि यह उन संगठनों के लिए विशेष रूप से प्रासंगिक है जो […]
अधिक पढ़ेंपृष्ठभूमि एसएलएसए (सॉफ्टवेयर कलाकृतियों के लिए आपूर्ति-श्रृंखला स्तर) एक सुरक्षा ढांचा है जिसका लक्ष्य छेड़छाड़ को रोकना, अखंडता में सुधार करना और पैकेज और बुनियादी ढांचे को सुरक्षित करना है। एसएलएसए की मूल अवधारणा यह है कि एक सॉफ्टवेयर आर्टिफैक्ट पर तभी भरोसा किया जा सकता है जब वह तीन आवश्यकताओं का अनुपालन करता है: आर्टिफैक्ट में इसकी उत्पत्ति और निर्माण प्रक्रिया का वर्णन करने वाला एक प्रोवेंस दस्तावेज़ होना चाहिए […]
अधिक पढ़ें״सॉफ्टवेयर विक्रेताओं को उत्तरदायी ठहराया जाना चाहिए जब वे उपभोक्ताओं, व्यवसायों, या महत्वपूर्ण बुनियादी ढांचा प्रदाताओं (व्हाइट हाउस) की देखभाल के कर्तव्य को पूरा करने में विफल रहते हैं। आज, किसी भी सॉफ़्टवेयर प्रदाता से संविदात्मक समझौतों, सॉफ़्टवेयर रिलीज़ और अपडेट, सूचनाओं और […] के माध्यम से सॉफ़्टवेयर की अखंडता और सुरक्षा सुनिश्चित करने के लिए अधिक ज़िम्मेदारी लेने की अपेक्षा की जाती है।
अधिक पढ़ेंटीएल;डीआर हाल के वर्षों में, तकनीकी उद्योग ने सॉफ्टवेयर विकास में "बाएं शिफ्टिंग" की अवधारणा का उत्साहपूर्वक समर्थन किया है, और विकास जीवनचक्र में सुरक्षा प्रथाओं के शीघ्र एकीकरण की वकालत की है। इस आंदोलन का उद्देश्य डेवलपर्स को परियोजना की शुरुआत से ही उनके कोड की सुरक्षा सुनिश्चित करने की जिम्मेदारी के साथ सशक्त बनाना है। हालाँकि, जबकि इस दृष्टिकोण के पीछे इरादे हैं […]
अधिक पढ़ेंउद्योग ने अभी तक एसबीओएम के विचार को पूरी तरह से नहीं समझा है, और हमने पहले ही एक नया शब्द - एमएल-बीओएम - मशीन लर्निंग बिल ऑफ मटेरियल सुनना शुरू कर दिया है। घबराहट शुरू होने से पहले, आइए समझें कि ऐसे बीओएम का उत्पादन क्यों किया जाना चाहिए, एमएल-बीओएम उत्पन्न करने में चुनौतियां, और ऐसा एमएल-बीओएम कैसा दिख सकता है। […]
अधिक पढ़ें