हमारे ब्लॉग

सॉफ़्टवेयर आपूर्ति श्रृंखला के जोखिमों में से एक रहस्य लीक होना है। सॉफ़्टवेयर आपूर्ति शृंखला के चारों ओर रहस्य हैं; डेवलपर्स और सीआई\सीडी पाइपलाइनों को एससीएम, पाइपलाइन, आर्टिफैक्ट रजिस्ट्रियों, क्लाउड वातावरण और बाहरी सेवाओं तक पहुंचने के लिए रहस्यों का उपयोग करने की आवश्यकता है। और जब रहस्य हर जगह हों, तो यह समय की बात है […]

अगस्त की शुरुआत में, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने अपने ऐतिहासिक साइबर सुरक्षा फ्रेमवर्क का ड्राफ्ट 2.0 संस्करण जारी किया, जो पहली बार 2014 में प्रकाशित हुआ था। पिछले 10 वर्षों में बहुत कुछ बदल गया है, जिनमें से कम से कम इसका बढ़ता स्तर है साइबर सुरक्षा संबंधी ख़तरे जो मूल दस्तावेज़ में महत्वपूर्ण लोगों की सहायता के लिए निर्धारित किए गए हैं […]

हम सभी ने हाल ही में एसबीओएम के बारे में बहुत कुछ सुना है। हमने उनकी उपयोगिता, उनकी संरचना और सुरक्षा एवं विनियमन के लिए उनकी आवश्यकताओं के बारे में सुना। इस बार मैं CyclonDX SBOM के एक छोटे से कम ज्ञात खंड - निर्भरता ग्राफ के बारे में बात करने के लिए समय लेना चाहता हूं। नाम के विपरीत, निर्भरता ग्राफ़ कोई […]

पिछले कुछ वर्षों में एसबीओएम - सॉफ्टवेयर बिल ऑफ मैटेरियल्स के बारे में बहुत सारे शब्द लिखे गए हैं। इस सभी प्रदर्शन के साथ लोगों को लगता है कि वे जानते हैं कि यह समझाने के लिए पर्याप्त है - यह सॉफ़्टवेयर अवयवों की एक सूची है, यह पारदर्शिता और सुरक्षा के लिए महत्वपूर्ण है, और यह क्षणिक निर्भरता को उजागर करने में मदद करता है। सभी […]

साक्ष्य बनाने, प्रबंधित करने, हस्ताक्षर करने और सत्यापित करने के लिए वैलिन्ट मुख्य स्क्राइब टूल है। पिछली पोस्ट में, हमने आपके सीआई/सीडी पाइपलाइन की सुरक्षा को सत्यापित करने में मुख्य उपकरण के रूप में हस्ताक्षर करने और साक्ष्य को सत्यापित करने के सिद्धांत को कवर किया था। एक संक्षिप्त अनुस्मारक के रूप में, स्क्राइब के प्रस्तावित मॉडल में कई बिल्डिंग ब्लॉक शामिल हैं जिन्हें फेरबदल किया जा सकता है और […]

सितंबर 2022 को, संयुक्त राज्य अमेरिका प्रबंधन और बजट कार्यालय (ओएमबी) ने अमेरिकी संघीय सरकार द्वारा स्वीकार्य डिग्री तक आपकी सॉफ़्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने के लिए आवश्यक कदमों के संबंध में एक ऐतिहासिक ज्ञापन जारी किया। कोई भी कंपनी जो सरकार और सॉफ़्टवेयर बनाने वाली किसी संघीय एजेंसी के साथ व्यापार करना चाहती है, उसे इसका अनुपालन करना होगा […]

आपके सॉफ़्टवेयर अनुप्रयोगों को सुरक्षित करने के लिए सीवीई (सामान्य कमज़ोरियाँ और एक्सपोज़र) स्कैन आवश्यक हैं। हालाँकि, सॉफ़्टवेयर स्टैक की बढ़ती जटिलता के साथ, सभी सीवीई की पहचान करना और उनका समाधान करना चुनौतीपूर्ण हो सकता है। आज सीवीई स्कैन के साथ सबसे बड़े मुद्दों में से एक झूठी सकारात्मकता का प्रसार है, जहां एक ऐसे पैकेज में भेद्यता की पहचान की जाती है जो […]

मार्च 2023 को व्हाइट हाउस ने एक नई राष्ट्रीय साइबर सुरक्षा रणनीति जारी की। रणनीति उन 5 स्तंभों की एक सूची की रूपरेखा तैयार करती है जिन्हें व्हाइट हाउस सार्वजनिक और निजी दोनों क्षेत्रों में सभी अमेरिकियों के लिए साइबर सुरक्षा में सुधार के लिए महत्वपूर्ण मानता है। तीसरा स्तंभ सुरक्षा और लचीलेपन में सुधार के लिए बाजार की शक्तियों को आकार देने के अभियान से संबंधित है। उसका एक हिस्सा […]

अप्रैल 2023 को CISA ने सॉफ़्टवेयर सुरक्षा के लिए एक नई संयुक्त मार्गदर्शिका जारी की, जिसे साइबर सुरक्षा जोखिम के संतुलन को स्थानांतरित करना: सुरक्षा-दर-डिज़ाइन और डिफ़ॉल्ट सिद्धांत कहा जाता है। गाइड को एनएसए, ऑस्ट्रेलियाई साइबर सुरक्षा केंद्र (एसीएससी), और जर्मनी के संघीय सूचना सुरक्षा कार्यालय (बीएसआई) समेत 9 विभिन्न एजेंसियों के सहयोग से तैयार किया गया था। यह तथ्य कि […]

20 मार्च को OpenAI ने लोकप्रिय जेनरेटिव AI टूल ChatGPT को कुछ घंटों के लिए बंद कर दिया। बाद में इसने स्वीकार किया कि आउटेज का कारण सॉफ़्टवेयर आपूर्ति श्रृंखला भेद्यता थी जो ओपन-सोर्स इन-मेमोरी डेटा स्टोर लाइब्रेरी 'रेडिस' में उत्पन्न हुई थी। इस भेद्यता के परिणामस्वरूप, एक समय विंडो थी (सुबह 1-10 बजे के बीच […]