हमारे ब्लॉग

पिछले महीने मुझे डार्क रीडिंग का यह लेख मिला। बड़ी जानी पहचानी लगी। मुझे यह समझने में देर नहीं लगी कि लेख में चर्चा की गई GitHub क्रॉस-वर्कफ़्लो आर्टिफैक्ट पॉइज़निंग भेद्यता GitHub क्रॉस-वर्कफ़्लो कैश पॉइज़निंग भेद्यता से काफी मिलती-जुलती है, जिसकी हमने मार्च 2022 में रिपोर्ट की थी। GitHub वर्कफ़्लोज़- GitHub का एक प्रमुख घटक […]

तृतीय-पक्ष घटकों के बढ़ते उपयोग और लंबी सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के साथ, हमलावर अब एक ही शोषण के माध्यम से एक साथ कई सॉफ़्टवेयर पैकेजों से समझौता कर सकते हैं। इस नए आक्रमण वेक्टर के जवाब में, अधिक विकास और DevOps टीमें, साथ ही सुरक्षा पेशेवर, एक सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM) को शामिल करना चाह रहे हैं। सॉफ़्टवेयर आपूर्ति श्रृंखला […]

सॉफ़्टवेयर आपूर्ति श्रृंखलाओं के सामने आने वाले जोखिमों ने साइबर सुरक्षा पारिस्थितिकी तंत्र में बातचीत में सबसे आगे अपना स्थान ले लिया है। यह आंशिक रूप से इन आपूर्ति श्रृंखला हमलों की बढ़ती आवृत्ति के कारण है, लेकिन जब ऐसा होता है तो उनके संभावित दूरगामी प्रभाव भी होते हैं। 2021 के आंकड़े सॉफ्टवेयर आपूर्ति श्रृंखला हमलों को दर्शाते हैं […]

वैश्विक सॉफ्टवेयर आपूर्ति श्रृंखला हमेशा साइबर अपराधियों से खतरे में रहती है जो संवेदनशील जानकारी या बौद्धिक संपदा चोरी करने और सिस्टम अखंडता से समझौता करने की धमकी देते हैं। ये मुद्दे वाणिज्यिक कंपनियों के साथ-साथ सरकार की जनता को सुरक्षित और विश्वसनीय रूप से सेवाएं प्रदान करने की क्षमता को प्रभावित कर सकते हैं। युनाइटेड स्टेट्स ऑफ़िस ऑफ़ मैनेजमेंट एंड बजट (ओएमबी) […]

जब तीन अमेरिकी सरकारी एजेंसियां ​​​​कुछ प्रथाओं को अपनाने के लिए डेवलपर्स को "दृढ़ता से प्रोत्साहित" करने के लिए एक साथ आती हैं, तो आपको ध्यान देना चाहिए। सीआईएसए, एनएसए और ओडीएनआई ने साइबर-हैकर्स के खतरे को पहचानने और सोलरविंड्स हमले के मद्देनजर घोषणा की कि वे संयुक्त रूप से सॉफ्टवेयर आपूर्ति को सुरक्षित करने के लिए सिफारिशों का एक संग्रह प्रकाशित करेंगे।

अमेरिकी सरकार अपनी साइबर सुरक्षा नीतियों में सुधार करने की प्रक्रिया में है। इसमें नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) द्वारा सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क (एसएसडीएफ) संस्करण 1.1 जारी करना शामिल है, जिसका उद्देश्य सॉफ्टवेयर डेवलपमेंट लाइफ साइकल (एसडीएलसी) में सुरक्षा कमजोरियों को कम करना है। दस्तावेज़ सॉफ़्टवेयर विक्रेताओं और अधिग्रहणकर्ताओं को "एक […]

अनुप्रयोगों और वेबसाइटों से डेटा निकालने के लिए डिज़ाइन किया गया एक नया सॉफ़्टवेयर आपूर्ति श्रृंखला हमला दो दर्जन से अधिक एनपीएम पैकेजों में पाया गया था।

GitGat रेगो में लिखी गई स्व-निहित OPA (ओपन पॉलिसी एजेंट) नीतियों का एक सेट है। GitGat आपके SCM खाते की सुरक्षा सेटिंग्स का मूल्यांकन करता है और आपको एक स्थिति रिपोर्ट और कार्रवाई योग्य अनुशंसाएँ प्रदान करता है।

आप विक्रेताओं के हस्ताक्षरित उत्पादों और अपडेट पर भरोसा नहीं कर सकते हैं और आपका अपना कोड पहले ही संशोधित या जोड़ा जा चुका होगा। तो फिर, आप वास्तव में यह सुनिश्चित करने के लिए क्या कर सकते हैं कि आप अपने सिस्टम में दुर्भावनापूर्ण फ़ाइलें इंस्टॉल नहीं कर रहे हैं?

22 मार्च को NIST ने SSDF 1.1 (सिक्योर सॉफ्टवेयर डेवलपमेंट फ्रेमवर्क) का अंतिम संस्करण जारी किया। हम अंतिम संस्करण और पिछले मसौदे के बीच कुछ अंतरों पर एक नज़र डालेंगे।