Rischio informatico

Bentornati alla seconda parte della nostra serie di blog, in cui approfondiamo le potenti capacità di Valint. In questo articolo ci concentreremo sul motore delle policy di Valint e sul suo ruolo fondamentale nel garantire la conformità lungo tutta la catena di fornitura. Nel nostro precedente post sul blog, abbiamo fornito una panoramica dei principi di progettazione di Valint. Come il motore delle politiche […]

Con la crescente complessità delle applicazioni e la proliferazione delle minacce alla sicurezza, garantire la sicurezza delle applicazioni software è diventata una sfida significativa per le organizzazioni. L'Application Security Posture Management (ASPM) emerge come una soluzione a queste sfide, fornendo un quadro per migliorare la visibilità, gestire le vulnerabilità e applicare controlli di sicurezza durante il ciclo di vita dello sviluppo del software. IL […]

I dettagli di ciò che accade all’interno delle pipeline CI/CD sono notoriamente opachi. Nonostante abbia scritto il file di configurazione YAML, che è l'elenco delle istruzioni della pipeline, come puoi essere certo che tutto avvenga esattamente come descritto? Ancor peggio, la maggior parte delle condutture sono del tutto transitorie, quindi anche in caso di malfunzionamento, […]

Il Secure Software Development Framework (SSDF), noto anche come NIST SP800-218, è un insieme di linee guida sviluppate dal NIST in risposta all'ordine esecutivo 14028, che si concentra sul miglioramento della posizione di sicurezza informatica degli Stati Uniti, in particolare per quanto riguarda la sicurezza della catena di fornitura del software. SSDF è un framework di best practice, non uno standard. Sebbene sia particolarmente rilevante per le organizzazioni che […]

Background SLSA (Supply-chain Levels for Software Artifacts) è un framework di sicurezza che mira a prevenire manomissioni, migliorare l'integrità e proteggere pacchetti e infrastrutture. Il concetto centrale di SLSA è che un artefatto software può essere considerato attendibile solo se soddisfa tre requisiti: l'artefatto dovrebbe avere un documento di provenienza che ne descriva l'origine e il processo di costruzione […]

"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]

TL;DR Negli ultimi anni, l'industria tecnologica ha sostenuto con fervore il concetto di "spostamento a sinistra" nello sviluppo del software, sostenendo l'integrazione precoce delle pratiche di sicurezza nel ciclo di vita dello sviluppo. Questo movimento mira a conferire agli sviluppatori la responsabilità di garantire la sicurezza del loro codice fin dall'inizio del progetto. Tuttavia, mentre le intenzioni alla base di questo approccio sono […]

Il settore non ha ancora compreso appieno l’idea di una SBOM e abbiamo già iniziato a sentire un nuovo termine: ML-BOM – Machine Learning Bill of Material. Prima che si scateni il panico, cerchiamo di capire perché dovrebbe essere prodotta una distinta base di questo tipo, le sfide nella generazione di una distinta base ML e come può apparire una distinta base ML. […]

Uno dei rischi della catena di fornitura del software è la fuga di segreti. I segreti sono presenti in tutta la catena di fornitura del software; gli sviluppatori e le pipeline CI\CD devono utilizzare segreti per accedere a SCM, pipeline, registri degli artefatti, ambienti cloud e servizi esterni. E quando i segreti sono ovunque, è una questione di tempo […]

All’inizio di agosto, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha pubblicato una bozza della versione 2.0 del suo storico Cybersecurity Framework, pubblicato per la prima volta nel 2014. Molte cose sono cambiate negli ultimi 10 anni, non ultimo il crescente livello di minacce alla sicurezza informatica che il documento originale prevedeva di aiutare i critici […]