Rischio informatico

Rischio informaticoUn'immagine che rappresenta il grafico delle dipendenze
Mikey Strauss Grafico delle dipendenze SBOM CycloneDX: a cosa serve?

Recentemente abbiamo tutti sentito parlare molto di SBOM. Abbiamo sentito parlare della loro utilità, della loro composizione e dei loro requisiti di sicurezza e regolamentazione. Questa volta voglio prendermi il tempo per parlare di un segmento un po' meno conosciuto del CyclonDX SBOM: il grafico delle dipendenze. A differenza del nome suggerisce, il grafico delle dipendenze non è un […]

Per saperne di più
Rischio informaticoL'immagine di un puzzle rotto
Barak Brudo Firma SBOM: risolvere un puzzle in continua evoluzione

Molte parole sono state scritte negli ultimi anni sulla SBOM – Software Bill Of Materials. Con tutta questa visibilità, le persone sentono di sapere cosa è sufficiente spiegare: si tratta di un elenco di ingredienti software, è importante per la trasparenza e la sicurezza e aiuta a esporre le dipendenze transitorie. Tutto […]

Per saperne di più
Rischio informatico
Barak Brudo Utilizzo di Valint per applicare policy al tuo SDLC

Valint è lo strumento principale di Scribe per creare, gestire, firmare e verificare prove. In un post precedente, abbiamo trattato la teoria dell'utilizzo della firma e della verifica delle prove come strumento principale per convalidare la sicurezza della pipeline CI/CD. Come breve promemoria, il modello proposto da Scribe include diversi elementi costitutivi che possono essere mescolati e […]

Per saperne di più
Rischio informatico
Barak Brudo Il modulo comune di autocertificazione del software sicuro CISA: un punto di svolta per la responsabilità

Nel settembre 2022, l'Office of Management and Budget (OMB) degli Stati Uniti ha emesso una nota fondamentale riguardante le misure necessarie per proteggere la catena di fornitura del software a un livello accettabile dal governo federale degli Stati Uniti. Qualsiasi azienda che desideri fare affari con il governo e qualsiasi agenzia federale che produce software deve conformarsi […]

Per saperne di più
Rischio informatico
Barak Brudo Come evitare il burnout CVE e l'affaticamento degli avvisi nelle scansioni delle vulnerabilità?

Le scansioni CVE (Common Vulnerabilities and Exposures) sono essenziali per proteggere le tue applicazioni software. Tuttavia, con la crescente complessità degli stack software, identificare e gestire tutti i CVE può essere difficile. Uno dei maggiori problemi con le scansioni CVE oggi è la prevalenza di falsi positivi, in cui viene identificata una vulnerabilità in un pacchetto che non è […]

Per saperne di più
Rischio informaticoUn'immagine che rappresenta il porto sicuro
Barak Brudo Fornire un rifugio sicuro dalla responsabilità per i produttori di software

Nel marzo 2023 la Casa Bianca ha pubblicato una nuova strategia nazionale per la sicurezza informatica. La strategia delinea un elenco di 5 pilastri che la Casa Bianca considera fondamentali per migliorare la sicurezza informatica per tutti gli americani, sia nel settore pubblico che in quello privato. Il terzo pilastro riguarda la spinta a modellare le forze di mercato per migliorare la sicurezza e la resilienza. Parte di ciò […]

Per saperne di più
Rischio informatico
Barak Brudo Tracciare il futuro dell'SBOM: approfondimenti dalla nuova guida CISA: spostare l'equilibrio del rischio di sicurezza informatica

Nell’aprile 2023 CISA ha pubblicato una nuova guida congiunta per la sicurezza del software denominata Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. La Guida è stata redatta con la collaborazione di 9 diverse agenzie tra cui la NSA, l'Australian Cyber ​​Security Centre (ACSC) e l'Ufficio federale tedesco per la sicurezza informatica (BSI), tra gli altri. Il fatto che […]

Per saperne di più
Rischio informaticoUn'immagine che illustra l'intelligenza artificiale va storta
Barak Brudo Cosa succede quando un'azienda di intelligenza artificiale cade vittima di una vulnerabilità nella catena di fornitura del software

Il 20 marzo OpenAI ha disattivato per alcune ore il popolare strumento di intelligenza artificiale generativa ChatGPT. Successivamente ha ammesso che il motivo dell'interruzione era una vulnerabilità della catena di fornitura del software che ha avuto origine nella libreria di archiviazione dati in memoria open source "Redis". Come risultato di questa vulnerabilità, c'era una finestra temporale (tra l'1 e le 10 […]

Per saperne di più
Rischio informaticoUn'immagine astratta della condivisione di documenti
Barak Brudo Cosa possiamo imparare dal rapporto sul ciclo di vita della condivisione SBOM di CISA

Nell'aprile 2023 DHS, CISA, DOE e CESER hanno pubblicato un rapporto intitolato "Software Bill of Materials (SBOM) Sharing Lifecycle Report". Lo scopo del rapporto era esaminare le modalità attuali con cui le persone condividono le SBOM e delineare, in termini generali, come questa condivisione potrebbe essere effettuata meglio, con maggiore sofisticatezza per […]

Per saperne di più
Rischio informatico
Barak Brudo Dal caos alla chiarezza: come proteggere la catena di fornitura con le attestazioni

Poiché tutti stanno diventando sempre più consapevoli, la protezione delle catene di fornitura del software dovrebbe essere una parte vitale della strategia di sicurezza informatica di ogni organizzazione. Una delle principali difficoltà nella creazione di una strategia globale per mitigare le minacce alla catena di fornitura del software è la complessità e la diversità delle catene di fornitura. Ogni filiera è unica e gli elementi […]

Per saperne di più
1 2 3 4 5