Il nostro Blog

Cos'è la backdoor XZ Utils (CVE-2024-3094)? CVE-2024-3094, pubblicato all'inizio di aprile 2024, è una backdoor inserita in modo dannoso in un'utilità Linux. È stato rilevato da Andres Freund, un ingegnere informatico Microsoft curioso e attento alla sicurezza, sul punto di essere integrato nelle principali distribuzioni Linux. Se ciò fosse riuscito, un numero inimmaginabile di server […]

Immagina la prossima riunione del consiglio. Tu, leader della sicurezza nella tua organizzazione, presenterai il tuo mazzo standard con rischi, mitigazioni e incidenti. Quindi, uno dei membri del consiglio chiederà: come vi state preparando a proteggere le nuove tecnologie di intelligenza artificiale e le pipeline MLOps che l’azienda sta già utilizzando? Ecco la tua risposta L’intelligenza artificiale […]

Bentornati alla seconda parte della nostra serie di blog, in cui approfondiamo le potenti capacità di Valint. In questo articolo ci concentreremo sul motore delle policy di Valint e sul suo ruolo fondamentale nel garantire la conformità lungo tutta la catena di fornitura. Nel nostro precedente post sul blog, abbiamo fornito una panoramica dei principi di progettazione di Valint. Come il motore delle politiche […]

Con la crescente complessità delle applicazioni e la proliferazione delle minacce alla sicurezza, garantire la sicurezza delle applicazioni software è diventata una sfida significativa per le organizzazioni. L'Application Security Posture Management (ASPM) emerge come una soluzione a queste sfide, fornendo un quadro per migliorare la visibilità, gestire le vulnerabilità e applicare controlli di sicurezza durante il ciclo di vita dello sviluppo del software. IL […]

I dettagli di ciò che accade all’interno delle pipeline CI/CD sono notoriamente opachi. Nonostante abbia scritto il file di configurazione YAML, che è l'elenco delle istruzioni della pipeline, come puoi essere certo che tutto avvenga esattamente come descritto? Ancor peggio, la maggior parte delle condutture sono del tutto transitorie, quindi anche in caso di malfunzionamento, […]

Il Secure Software Development Framework (SSDF), noto anche come NIST SP800-218, è un insieme di linee guida sviluppate dal NIST in risposta all'ordine esecutivo 14028, che si concentra sul miglioramento della posizione di sicurezza informatica degli Stati Uniti, in particolare per quanto riguarda la sicurezza della catena di fornitura del software. SSDF è un framework di best practice, non uno standard. Sebbene sia particolarmente rilevante per le organizzazioni che […]

Background SLSA (Supply-chain Levels for Software Artifacts) è un framework di sicurezza che mira a prevenire manomissioni, migliorare l'integrità e proteggere pacchetti e infrastrutture. Il concetto centrale di SLSA è che un artefatto software può essere considerato attendibile solo se soddisfa tre requisiti: l'artefatto dovrebbe avere un documento di provenienza che ne descriva l'origine e il processo di costruzione […]

"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]

TL;DR Negli ultimi anni, l'industria tecnologica ha sostenuto con fervore il concetto di "spostamento a sinistra" nello sviluppo del software, sostenendo l'integrazione precoce delle pratiche di sicurezza nel ciclo di vita dello sviluppo. Questo movimento mira a conferire agli sviluppatori la responsabilità di garantire la sicurezza del loro codice fin dall'inizio del progetto. Tuttavia, mentre le intenzioni alla base di questo approccio sono […]

Il settore non ha ancora compreso appieno l’idea di una SBOM e abbiamo già iniziato a sentire un nuovo termine: ML-BOM – Machine Learning Bill of Material. Prima che si scateni il panico, cerchiamo di capire perché dovrebbe essere prodotta una distinta base di questo tipo, le sfide nella generazione di una distinta base ML e come può apparire una distinta base ML. […]