शाई-हुलुद 2 के परिणाम और क्या अलग किया जा सकता था

सभी पद

डैनी नेबेंज़हल

शाई-हुलुद 2.0 एनपीएम वर्म उन घटनाओं में से एक है, जिसका उल्लेख ऐपसेक टीमें वर्षों तक पोस्टमार्टम में करती रहेंगी।

आइए विश्लेषण करें कि क्या हुआ, कौन प्रभावित हुआ, और एसएससीएस जैसा प्लेटफॉर्म कैसे काम कर रहा है स्क्राइबहब इससे संगठनों को विस्फोट की त्रिज्या को रोकने या कम से कम नाटकीय रूप से सीमित करने में मदद मिल सकती थी।

1. शाई-हुलुद 2.0 क्या है?

शाई-हुलुद पहली बार सितंबर 2025 में एक के रूप में सामने आया एनपीएम पारिस्थितिकी तंत्र को लक्षित करने वाला स्व-प्रतिकृति कृमि, सैकड़ों जावास्क्रिप्ट पैकेजों से समझौता करना और चोरी की गई क्रेडेंशियल्स और स्वचालित पुनर्प्रकाशन के माध्यम से फैलना। 

कुछ ही महीनों बाद, शोधकर्ताओं ने एक कहीं अधिक आक्रामक और स्वचालित अनुवर्ती लहर, जिसे अब सामान्यतः कहा जाता है “शाई-हुलुद 2.0”, “शा1-हुलुद 2.0” या “दूसरा आगमन।” 

शाई-हुलुद 2.0 की मुख्य विशेषताएं:

  • आपूर्ति-श्रृंखला पर ध्यान केन्द्रित करना। एक कंपनी पर हमला करने के बजाय, यह हमला करता है विश्वसनीय npm पैकेज और, बाद के संस्करणों में, यहां तक ​​कि जावा पारिस्थितिकी तंत्र (मावेन) भी, हजारों परियोजनाओं में प्रयुक्त बिल्डिंग ब्लॉकों को विषाक्त कर रहा है।
  • स्व-प्रसारक कृमि. एक बार जब यह किसी अनुरक्षक से समझौता कर लेता है, तो यह स्वचालित रूप से बैकडोर से प्रवेश कर जाता है सब उस अनुरक्षक के पैकेजों को पुनः प्रकाशित करता है, जिससे निर्भरता ग्राफ में घातांकीय फैलाव संभव हो जाता है।
  • रहस्य चुराने वाला सूचना चुराने वाला. पेलोड आक्रामक रूप से डेवलपर मशीनों और बिल्ड पाइपलाइनों से पर्यावरण चर, GitHub और npm टोकन, क्लाउड क्रेडेंशियल्स और CI/CD रहस्यों को एकत्रित करता है। 
  • विनाशकारी “डेड-मैन स्विच।” यदि मैलवेयर अपने C2 तक नहीं पहुंच पाता है या फैलने में विफल रहता है, तो कुछ प्रकार उपयोगकर्ता की होम डायरेक्टरी को मिटाने का प्रयास करते हैं, जिससे आपूर्ति-श्रृंखला समझौता एक संभावित विनाशकारी घटना में बदल जाता है।

2. हमला कैसे हुआ - चरण दर चरण

विभिन्न विक्रेताओं ने थोड़े अलग टूलिंग और स्क्रिप्ट देखी, लेकिन समग्र किल चेन मोटे तौर पर इस तरह दिखती है:

2.1 प्रारंभिक पैर जमाना: समझौता किए गए अनुरक्षक खाते

हमलावर:

  1. समझौता किए गए npm / GitHub अनुरक्षक खाते पहले चुराए गए टोकन का उपयोग करना, फ़िशिंग, पासवर्ड का पुनः उपयोग, या कमज़ोर MFA।
  2. उन खातों का उपयोग प्रकाशन के लिए किया वैध पैकेजों के ट्रोजन संस्करण - अक्सर केवल पैच-स्तरीय संस्करण बम्प के साथ ताकि वे सामान्य अद्यतन पैटर्न में मिश्रित हो जाएं।

चूंकि पैकेज वैध अनुरक्षकों द्वारा हस्ताक्षरित/प्रकाशित किए गए थे, इसलिए वे डाउनस्ट्रीम उपभोक्ताओं के लिए विश्वसनीय प्रतीत हुए।

2.2 npm इंस्टॉल / CI पाइपलाइन के माध्यम से संक्रमण

संगठनों ने ये पैकेज वापस लिये:

  • सामान्य के माध्यम से एनएमपी स्थापित करें स्थानीय देव में,
  • या अप्रत्यक्ष रूप से सीआई / सीडी पाइपलाइन स्वचालित निर्माण के भाग के रूप में।

दुर्भावनापूर्ण पैकेज आमतौर पर लाभ उठाते हैं एनपीएम जीवनचक्र स्क्रिप्ट (पूर्वस्थापित, स्थापित, पोस्टइंस्टॉल) को निष्पादन वेक्टर के रूप में उपयोग करना, दूसरे चरण के पेलोड को डाउनलोड करना और चलाना जैसे बंडल.जेएस, सेटअप_बुन.js, या इसी तरह की बड़ी अस्पष्ट फ़ाइलें। 

2.3 क्रेडेंशियल चोरी और पर्यावरण पुनर्निर्माण

एक बार चलने पर, पेलोड:

  • सूचीबद्ध पर्यावरण चर और स्थानीय कॉन्फ़िगरेशन फ़ाइलें.
  • काटा क्लाउड क्रेडेंशियल्स, GitHub/GitLab टोकन, npm एक्सेस टोकन, SSH कुंजियाँ, और अन्य रहस्य।
  • कभी-कभी उपयोग किए जाने वाले उपकरण जैसे ट्रफलहॉग-शैली स्कैनिंग रहस्यों के लिए रिपॉजिटरी खोजने के लिए।

ये प्रमाण-पत्र तब हमलावर-नियंत्रित GitHub रिपॉजिटरी में एक्सफ़िल्टर्ड या अन्य C2 अवसंरचना, जिसे अक्सर मिश्रण करने के लिए नाम दिया जाता है (उदाहरण के लिए, "शाई-हुलुद" रिपोज़िटरी चोरी किए गए पर्यावरण डंप के साथ आबाद)। 

2.4 डेवलपर पारिस्थितिकी प्रणालियों में पार्श्व आंदोलन

चुराए गए टोकन का उपयोग करके, मैलवेयर:

  • सभी npm पैकेजों को बैकडोर किया गया समझौता किए गए अनुरक्षकों के स्वामित्व में, उन्हीं दुर्भावनापूर्ण स्क्रिप्टों को इंजेक्ट करना और उन्हें पुनः प्रकाशित करना।
  • लगाए दुर्भावनापूर्ण GitHub Actions वर्कफ़्लो और सीआई रन के दौरान दृढ़ता और निरंतर निष्कासन के लिए पीड़ित रिपॉजिटरी में बैकडोर।
  • कुछ 2.0 वेरिएंट में, npm से आगे बढ़ाया गया मावेन रिपॉजिटरी, वास्तविक क्रॉस-इकोसिस्टम आपूर्ति-श्रृंखला पहुंच का प्रदर्शन। 

चूँकि कई लोकप्रिय पुस्तकालय निर्भरता वृक्षों में उच्च स्थान पर होते हैं, इसलिए केवल कुछ अनुरक्षकों का समझौता, निर्भरता वृक्षों में परिवर्तित हो जाता है। हजारों प्रभावित रिपॉजिटरी बहाव

3. पैमाना और पीड़ितों पर प्रभाव

विभिन्न सुरक्षा विक्रेता अलग-अलग संख्याएं बताते हैं, लेकिन वे सभी एक बात पर सहमत हैं: शाई-हुलुद 2.0 बहुत बड़ा है।

  • सुरक्षा शोधकर्ताओं का अनुमान है कि 25,000 से अधिक GitHub रिपॉजिटरी और सैकड़ों से ~700 पैकेज बाद की लहरों में प्रभावित हुए, जिनमें से कुछ दिखाई देते हैं क्लाउड/कोड वातावरण के एक चौथाई से अधिक उन्होंने स्कैन किया।
  • विश्लेषकों का कहना है कि अब तक देखे गए सबसे तेज़ी से फैलने वाले एनपीएम सप्लाई-चेन हमलों में से एक, स्वचालन के साथ समझौता किया कुछ ही घंटों में सैकड़ों पैकेज।
  • हाई-प्रोफाइल पीड़ितों में परियोजनाएं और पैकेज शामिल थे जैपियर, ईएनएस डोमेन, पोस्टहॉग, पोस्टमैन, और अन्य - जिसका अर्थ है कि SaaS प्रदाताओं और उनके हजारों ग्राहकों के लिए संभावित जोखिम था।

3.1 प्रत्यक्ष तकनीकी प्रभाव

जिन संगठनों ने ट्रोजन पैकेज निकाला, उनके लिए सामान्य परिणाम निम्नलिखित थे:

  • CI/CD रहस्यों का खुलासा (क्लाउड प्रदाता कुंजियाँ, परिनियोजन टोकन, कोड-हस्ताक्षर प्रमाणपत्र, आदि)।
  • गुप्त पिछले दरवाजे GitHub रिपॉजिटरी और CI क्रियाओं में, हमलावरों को भविष्य के बिल्ड में मनमाने आदेश चलाने की अनुमति देता है।
  • छेड़छाड़ की गई कलाकृतियाँ: हमलावरों द्वारा डेवलपर्स की जानकारी के बिना निर्मित अनुप्रयोगों में दुर्भावनापूर्ण तर्क डालने की संभावना।
  • कुछ बदकिस्मत डेवलपर्स के लिए, विनाशकारी सफाया $ HOME डायरेक्टरी जब मैलवेयर का पुनःप्रवर्तन आरम्भ हुआ।

3.2 व्यावसायिक प्रभाव

व्यावसायिक दृष्टिकोण से इसका अर्थ है:

  • बड़े पैमाने पर घटना-प्रतिक्रिया घटनाएँ: आईआर टीमों को प्रभावित पैकेजों का उपयोग करके प्रत्येक परियोजना का ऑडिट करना पड़ता था, टोकनों को घुमाना पड़ता था, और कभी-कभी तैनाती को रोकना पड़ता था।
  • विनियामक और संविदात्मक जोखिमविनियमित उद्योगों (वित्त, स्वास्थ्य सेवा, सरकारी आपूर्तिकर्ता) को अब इस संभावना का सामना करना पड़ रहा है कि विनियमित डेटा या महत्वपूर्ण सिस्टम एक्सेस कुंजियों को तीसरे पक्ष के पैकेज के माध्यम से बाहर निकाला गया था।
  • ओपन सोर्स में विश्वास का क्षरणसुरक्षा और इंजीनियरिंग के नेताओं को सार्वजनिक रजिस्ट्री के लिए अपने ट्रस्ट मॉडल पर पुनर्विचार करने और निर्भरता प्रबंधन के आसपास सख्त नियंत्रण पर विचार करने के लिए मजबूर होना पड़ रहा है।

4. जहां पारंपरिक सुरक्षा संघर्ष करती है

शाई-हुलुद 2.0 ने इतने सारे बचावों को क्यों तोड़ दिया?

  1. यह विश्वास का दुरुपयोग था, न कि सामान्य कमजोरी का। ये पैकेज "वैध" थे - वास्तविक अनुरक्षक नामों के तहत प्रकाशित किए गए थे, अक्सर मौजूदा रिपॉजिटरी से।
  2. स्थैतिक एससीए/एसएएसटी पर्याप्त नहीं था। भले ही टीमों के पास एसबीओएम और भेद्यता स्कैनर थे, उनमें से कई इसकी तलाश नहीं कर रहे थे व्यवहार संदिग्ध जीवनचक्र स्क्रिप्ट या बिल्ड के दौरान आउटबाउंड एक्सफ़िलट्रेशन जैसे संकेतक।
  3. सीक्रेट्स और सीआई/सीडी वास्तविक लक्ष्य थे। कई संगठनों में उत्पादन की तुलना में CI/CD वातावरण के लिए नियंत्रण और निगरानी कमजोर होती है, जिससे वे आदर्श लक्ष्य बन जाते हैं।
  4. अंत-से-अंत तक मूल स्रोत का अभाव। अधिकांश टीमें आसानी से इसका उत्तर नहीं दे सकीं: "वास्तव में कौन से बिल्ड, आर्टिफैक्ट और डिप्लॉयमेंट में ट्रोजनाइज्ड पैकेज शामिल था - और कौन से क्लीन हैं?"

यह वास्तव में वह अंतर है जो सॉफ्टवेयर-आपूर्ति-श्रृंखला सुरक्षा (SSCS) प्लेटफार्मों की तरह स्क्राइबहब को संबोधित करने के लिए डिज़ाइन किया गया है।

 

5. स्क्राइबहब एसएससीएस शाई-हुलुद-शैली के हमलों को रोकने और कम करने में कैसे मदद कर सकता है

मैं शाई-हुलुद 2.0 की तकनीकों को उन क्षमताओं से जोड़ूंगा जिन्हें आप आमतौर पर स्क्राइब सिक्योरिटी के स्क्राइबहब प्लेटफॉर्म और संबंधित टूलिंग (जैसे, वैलिंट पॉलिसी-एज़-कोड) के साथ क्रियान्वित करते हैं।

5.1 निर्भरता अंतर्ग्रहण पर सुरक्षा

शाई-हुलुद 2.0 में समस्या:
 संगठनों ने अपडेट किए गए npm पैकेजों का स्वचालित रूप से उपभोग किया (के माध्यम से) ^/~ संस्करण रेंज, रेनोवेट/डिपेंडैबोट, या सीआई स्क्रिप्ट) को बहुत कम व्यवहारिक जांच के साथ।

स्क्राइबहब के साथ:

  • नीति-संचालित निर्भरता नियंत्रण. वैलिंट नीतियों का उपयोग करके प्रतिबंधित करें कि कौन सी रजिस्ट्री और स्कोप को "विश्वसनीय" माना जाए, महत्वपूर्ण पैकेजों के लिए अनुमति-सूचियां लागू करें, और चेतावनी दें जब:
    • एक नया अनुरक्षक एक संस्करण प्रकाशित करता है,
    • अप्रत्याशित जीवनचक्र स्क्रिप्ट प्रकट होती हैं,
    • या कोई पैकेज अचानक नया नेटवर्क/निष्पादन व्यवहार प्राप्त कर लेता है।
  • तृतीय-पक्ष घटकों पर सत्यापन। स्क्राइबहब अंतर्ग्रहण और सत्यापन कर सकता है उत्पत्ति और निर्माण सत्यापन जहाँ उपलब्ध हो वहाँ पैकेजों के लिए (जैसे, SLSA-शैली मेटाडेटा, सिगस्टोर, इन-टोटो), जैसे नियमों को सक्षम करना "केवल उन निर्भरताओं का उपभोग करें जिनके निर्माण के स्रोत पर हमें भरोसा है।"

यह जादुई रूप से एनपीएम पारिस्थितिकी तंत्र को ठीक नहीं करता है, लेकिन यह महत्वपूर्ण रूप से मानक बढ़ाता है इससे पहले कि आपके बिल्ड में एक नया संस्करण की अनुमति दी जाए।

5.2 CI/CD पाइपलाइन को “प्रथम श्रेणी की संपत्ति” के रूप में मजबूत बनाना

शाई-हुलुद का मुख्य मूल्य शोषण से आया डेवलपर लैपटॉप और CI/CD नोड्स को गुप्त वॉल्ट के रूप में उपयोग किया जाता है।

स्क्राइबहब का उपयोग:

  • प्रत्येक रन के लिए पाइपलाइन सत्यापन।
     प्रत्येक CI कार्य एक हस्ताक्षरित सत्यापन तैयार करता है जिसमें वर्णन होता है:

    • कौन से रिपोज़िटरी और शाखाएँ बनाई गईं,
    • कौन सी निर्भरताएं और कंटेनर छवियां उपयोग की गईं,
    • कौन सी स्क्रिप्ट चली (जीवनचक्र हुक सहित),
    • और कौन से रहस्यों तक पहुंच बनाई गई।
  • वह डेटा आता है स्क्राइबहब की साक्ष्य झील, जो आपको “किसने क्या बनाया, कहां से, किन इनपुट के साथ” का छेड़छाड़-रहित इतिहास देता है।
  • नीति-एज़-कोड रनटाइम जाँच.
     इससे पहले कि किसी बिल्ड आर्टिफैक्ट को स्टेजिंग/प्रोडक्शन में प्रमोट किया जा सके, पॉलिसी इंजन निम्नलिखित को सत्यापित करता है:

    • केवल अनुमोदित एनपीएम रजिस्ट्री का ही उपयोग किया गया था,
    • कि कोई निषिद्ध जीवनचक्र स्क्रिप्ट नहीं है (कर्ल | ​​बैश, अस्पष्ट बंडल.जेएस, आदि) निष्पादित किए जाते हैं,
    • कि रनर रूट के रूप में नहीं चल रहा था और संवेदनशील होस्ट पथों को माउंट नहीं कर रहा था।

यदि शाई-हुलुद अतिरिक्त इंजेक्शन लगाता है पोस्टइंस्टॉल स्क्रिप्ट जो रहस्यों को उजागर करती है, वे रन नीति विफल और कभी उत्पादन तक नहीं पहुंच पाते।

5.3 तीव्र विस्फोट-त्रिज्या विश्लेषण

इस तरह के अभियान में सबसे कठिन कार्यों में से एक है:

"हमने पैकेज एक्स के ट्रोजन संस्करण का उपयोग वास्तव में कहां किया, और उन्होंने क्या छुआ?"

स्क्राइबहब के साथ:

  • प्रत्येक निर्माण, परिनियोजन और आर्टिफैक्ट इससे जुड़ा हुआ है क्रिप्टोग्राफ़िक रूप से लिंक किए गए सत्यापन: निर्भरताएं, पर्यावरण विवरण, प्रतिबद्ध SHAs, कंटेनर डाइजेस्ट, आदि।
  • जब एक नई सलाह कहती है "संस्करण 4.8.1–4.8.5 कुछ-लाइब्रेरी आप ScribeHub से पूछते हैं, "ये Shai-Hulud 2.0 का हिस्सा हैं:


     "मुझे पिछले 90 दिनों में वे सभी बिल्ड दिखाएं जिनमें वे संस्करण शामिल थे, और जो परिनियोजन या छवियां उन्होंने तैयार कीं।"
  • फिर आप कर सकते हैं लक्ष्य गुप्त रोटेशन और जहां जरूरत हो, वहां सुधार करना चाहिए, न कि हर चीज को आंख मूंदकर घुमाना चाहिए (जो परिचालन की दृष्टि से अवास्तविक हो सकता है)।

दूसरे शब्दों में, स्क्राइबहब एक पारिस्थितिकी तंत्र-व्यापी आतंक को एक में बदल देता है सीमित, लेखापरीक्षा योग्य घटना.

5.4 अपनी सुरक्षा करना अपना पैकेजों को हथियार बनने से रोकना

कई संगठन न केवल ओपन सोर्स का उपभोग करते हैं - वे प्रकाशित करना ग्राहकों, भागीदारों या आंतरिक टीमों द्वारा उपयोग किए जाने वाले पैकेज। अगर आपके संगठन में किसी अनुरक्षक खाते से छेड़छाड़ की गई, तो आप शाई-हुलुद अनुरक्षकों की तरह एक अनिच्छुक प्रसार वेक्टर बन सकते हैं।

स्क्राइबहब निम्नलिखित तरीकों से मदद कर सकता है:

  • आपके CI से हस्ताक्षरित सत्यापन की आवश्यकता किसी पैकेज को npm या आंतरिक रजिस्ट्री में प्रकाशित करने से पहले:
    • जिन पैकेज संस्करणों के साथ अपेक्षित सत्यापन नहीं होता, उन्हें अस्वीकार कर दिया जाता है या चिह्नित कर दिया जाता है।
  • अपनी स्वयं की रजिस्ट्री और रिपॉजिटरी की निरंतर निगरानी:
    • जब कोई पैकेज किसी अज्ञात बिल्ड परिवेश से या आपके अनुमोदित CI पाइपलाइनों के बाहर प्रकाशित किया जाता है, तो अलर्ट।
    • नए GitHub एक्शन या npm स्क्रिप्ट का पता लगाना जो पिछले “विश्वसनीय” रिलीज़ में मौजूद नहीं थे।

यह बनाता है चोरी किए गए टोकन वाले हमलावर के लिए यह बहुत कठिन है चुपचाप आपके नामस्थान में एक दुर्भावनापूर्ण संस्करण डालने के लिए।

5.5 नियामकों, ग्राहकों और आंतरिक हितधारकों के लिए साक्ष्य

शाई-हुलुद 2.0 जैसी घटनाओं की नियामकों और बड़े ग्राहकों द्वारा तेजी से जांच की जा रही है, विशेष रूप से ऐसे क्षेत्रों में जो इस तरह के ढांचे से जुड़े हैं एनआईएसटी एसएसडीएफ, पीसीआई डीएसएस 4, या सरकारी सॉफ्टवेयर सत्यापन आवश्यकताएँ।

क्योंकि स्क्राइबहब एक रखता है SDLC गतिविधि का समय-मुद्रित, हस्ताक्षरित रिकॉर्डआप कर सकते हैं:

  • प्रदर्शित करें कि कौन से बिल्ड और रिलीज़ ट्रोजनीकृत निर्भरताओं से अप्रभावित थे।
  • लेखा परीक्षकों को निम्नलिखित के ठोस साक्ष्य उपलब्ध कराएं:
    • निर्भरता नीतियाँ,
    • सीआई में न्यूनतम-विशेषाधिकार का प्रवर्तन,
    • और घटना के बाद गुप्त-रोटेशन समयसीमा।

इससे बातचीत "हमें लगता है कि हम ठीक हैं" से बदलकर "हमारे सॉफ्टवेयर के लिए अभिरक्षा की प्रमाणित श्रृंखला यहां है" हो जाती है।

6. सुरक्षा नेताओं के लिए व्यावहारिक सुझाव

इन सब बातों को एक साथ रखते हुए, मैं शाई-हुलुद 2.0 और स्क्राइबहब जैसे प्लेटफॉर्म की भूमिका का सारांश इस प्रकार प्रस्तुत करूंगा:

  1. मान लीजिए कि पारिस्थितिकी तंत्र खतरे में है। सार्वजनिक रजिस्ट्री विफलता के एकल बिंदु के रूप में बहुत आकर्षक हैं। आपके सुरक्षा मॉडल को बाहरी निर्भरताओं को तब तक अविश्वसनीय मानना ​​चाहिए जब तक कि अन्यथा सिद्ध न हो जाए।
  2. "स्कैन और प्रार्थना" से "प्रमाणित और लागू करें" तक अपग्रेड करें। क्लासिक एससीए और लिंटिंग महत्वपूर्ण बने हुए हैं, लेकिन शाई-हुलुद 2.0 से पता चलता है कि हमें इसकी भी आवश्यकता है:
    • मजबूत उद्गम,
    • प्रमाणित निर्माण,
    • और नीति-संरक्षित कलाकृतियों का प्रचार।
  3. CI/CD को उत्पादन की तरह समझें। वर्म ने गुप्त सूचनाओं और पाइपलाइनों पर निशाना साधा, क्योंकि वे अक्सर कठोर रनटाइम वातावरण की तुलना में अधिक आसान लक्ष्य होते हैं।
  4. ट्रेसेबिलिटी में निवेश करें। जब अगला पारिस्थितिकी तंत्र-व्यापी समझौता होगा - और यह होगा - तो सप्ताहों के बजाय घंटों के भीतर यह उत्तर देने की आपकी क्षमता कि "इसने हमें कहां प्रभावित किया?" एक नियंत्रित घटना और पूर्ण पैमाने पर संकट के बीच का अंतर होगा।

स्क्राइबहब एसएससीएस एनपीएम या ओपन सोर्स को जादुई रूप से सुरक्षित नहीं बनाता है, लेकिन यह आपको दृश्यता, नियंत्रण और साक्ष्य आधार प्रदान करता है, जो शाई-हुलुद शैली के हमलों का सामना करने के लिए बहुत कम अराजकता के साथ आवश्यक है।

यदि आप अपने SDLC को निरंतर हस्ताक्षरित सत्यापन, साक्ष्य-संचालित नीतियों और मजबूत CI/CD स्वच्छता के आधार पर तैयार करते हैं, तो अगला "इतिहास का सबसे बड़ा npm आपूर्ति-श्रृंखला हमला" आपके व्यवसाय के लिए अस्तित्वगत खतरा न होकर, संभालने के लिए एक और घटना बन जाता है।

यह सामग्री आपके लिए स्क्राइब सिक्योरिटी द्वारा लाई गई है, जो एक अग्रणी एंड-टू-एंड सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा समाधान प्रदाता है - जो संपूर्ण सॉफ्टवेयर आपूर्ति श्रृंखलाओं में कोड कलाकृतियों और कोड विकास और वितरण प्रक्रियाओं के लिए अत्याधुनिक सुरक्षा प्रदान करता है। और अधिक जानें.

संबंधित पोस्ट

कैश विषाक्तता
GitHub कैश विषाक्तता

क्या आप जानते हैं कि आपके सीआई के अंतर्गत क्या होता है? गहरी समझ के बिना, आप नवीन आपूर्ति श्रृंखला हमलों के प्रति संवेदनशील हो सकते हैं। यह लेख ऐसे ही एक हमले का वर्णन करता है.

शतरंज की बिसात की एक छवि
एनआईएसटी के साइबर सुरक्षा फ्रेमवर्क 2.0 में क्या बदलाव आया है और आपको इसकी परवाह क्यों करनी चाहिए?

अगस्त की शुरुआत में, यूएस नेशनल इंस्टीट्यूट ऑफ स्टैंडर्ड्स एंड टेक्नोलॉजी (एनआईएसटी) ने अपने ऐतिहासिक साइबर सुरक्षा फ्रेमवर्क का ड्राफ्ट 2.0 संस्करण जारी किया, जो पहली बार 2014 में प्रकाशित हुआ था। पिछले 10 वर्षों में बहुत कुछ बदल गया है, जिनमें से कम से कम इसका बढ़ता स्तर है साइबर सुरक्षा संबंधी ख़तरे जो मूल दस्तावेज़ में महत्वपूर्ण लोगों की सहायता के लिए निर्धारित किए गए हैं […]

स्पष्टता की छवि
अराजकता से स्पष्टता तक: अनुपालन के लिए नीति इंजन को नेविगेट करना

हमारी ब्लॉग श्रृंखला के दूसरे भाग में आपका फिर से स्वागत है, जहां हम वैलिन्ट की शक्तिशाली क्षमताओं के बारे में गहराई से चर्चा करेंगे। इस लेख में, हम वैलिंट के नीति इंजन और आपकी आपूर्ति श्रृंखला में अनुपालन सुनिश्चित करने में इसकी महत्वपूर्ण भूमिका पर ध्यान केंद्रित करेंगे। हमारे पिछले ब्लॉग पोस्ट में, हमने वैलिन्ट के डिज़ाइन सिद्धांतों का एक सिंहावलोकन प्रदान किया था। नीति इंजन कैसे […]

लोकप्रिय पोस्ट
शाई-हुलुद 2 के परिणाम और क्या अलग किया जा सकता थाशाई-हुलुद: क्या हुआ, यह क्यों मायने रखता है, और स्क्राइब ने ग्राहकों को कैसे बचायासक्रिय पाइपलाइन सुरक्षा: स्क्राइब के साथ OWASP के शीर्ष 10 CI/CD जोखिमों को लागू करनास्क्राइब एमसीपी के साथ अपने सुरक्षा डेटा से बात करना
श्रेणियाँ