Il nostro Blog

Dai report statici alla sicurezza conversazionale. Oggi i team di sicurezza sono sommersi da dati: SBOM, CVE, risultati xAST, controlli di conformità e dashboard di rischio. Ma le informazioni spesso rimangono bloccate in dashboard che solo pochi esperti sanno interrogare. Noi di Scribe Security crediamo che i tuoi dati di sicurezza debbano essere accessibili come una conversazione. Ecco perché […]

Inizia allo stesso modo in quasi tutti i team di ingegneria. Gli sviluppatori si muovono rapidamente, sviluppando funzionalità, integrando pacchetti di terze parti e, ora, scrivendo codice con l'aiuto dell'intelligenza artificiale. Le pipeline di CI/CD sono in fermento giorno e notte, portando gli aggiornamenti in produzione a una velocità mai vista prima. I clienti sono soddisfatti della velocità. Ma nella mente di ogni CISO […]

Il tuo progetto di Vibe Coding è pieno di vulnerabilità! Sviluppare software con l'intelligenza artificiale è passato dalla fantascienza alla realtà quotidiana. Il tuo progetto basato sull'intelligenza artificiale potrebbe funzionare perfettamente... finché gli hacker non ne trovano i difetti. In questo post, illustreremo il percorso da un codice generato dall'intelligenza artificiale pieno di vulnerabilità a un prodotto affidabile, esaminando […]

Immaginate il carico di lavoro di uno sviluppatore: una lunga giornata di programmazione, scadenze imminenti e poi arriva il temuto report SAST. Centinaia di risultati, ognuno dei quali rappresenta una potenziale vulnerabilità, ognuno dei quali richiede la massima attenzione. Il processo è ripetitivo, richiede molto tempo e, diciamocelo, a volte è una fatica demoralizzante. E la situazione non fa che peggiorare; la generazione del codice […]

Questo articolo è stato scritto in collaborazione con Viktor Kartashov e Daniel Nebenzahl. La cartina tornasole dell'auditor: puoi dimostrare le tue build? "Puoi dimostrare, in modo definitivo, che ogni immagine di container che spedisci è stata costruita esattamente come dichiari?" La maggior parte degli auditor si aspetta una risposta rapida e sicura, non settimane di frenetico refactoring YAML. L'SLSA (Supply-chain Levels for […]

Scritto in collaborazione con Viktor Kartashov, lo standard NIST SP 800-190 fornisce linee guida strutturate per la sicurezza delle applicazioni containerizzate, coprendo ogni aspetto, dalla provenienza delle immagini ai controlli runtime. Con l'esplosione dell'uso dei container negli ambienti DevOps in rapida evoluzione, l'allineamento a questi requisiti diventa essenziale e impegnativo. Ma lo standard SP 800-190 in questo caso è solo un caso d'uso. L'idea più ampia è […]

Cos'è in-toto e come protegge la supply chain del software? Gli attacchi alla supply chain del software, come quelli osservati negli ultimi anni – 3CX, Codecov e Solarwinds – hanno evidenziato la fragilità delle pipeline di sviluppo tradizionali. In risposta, la comunità open source ha sviluppato in-toto, un framework per garantire l'integrità in ogni fase della distribuzione del software. In-toto […]

Nel panorama odierno dello sviluppo software, la diversità dei profili degli sviluppatori è sia un punto di forza che una vulnerabilità. La tassonomia allegata, che spazia dai "Good Developer" ben intenzionati ma imperfetti ai "Citizen Developer" che utilizzano codice generato dall'intelligenza artificiale e persino ai "Malicious Developer", evidenzia come diversi livelli di esperienza, intenti e comportamento possano comportare rischi significativi per il ciclo di vita dello sviluppo software (SDLC). Scribe Security affronta […]

Noi di Scribe Security crediamo che il futuro della sicurezza informatica dipenda dalla protezione delle supply chain software dall'interno verso l'esterno. Ecco perché siamo orgogliosi di collaborare con il National Cybersecurity Center of Excellence (NCCoE) al suo progetto Software Supply Chain and DevOps Security Practices. Questa iniziativa riunisce i collaboratori tecnologici del settore pubblico e privato per esplorare come […]

La maggior parte delle organizzazioni software utilizza più piattaforme per la gestione del codice, la compilazione, il registro, la distribuzione e l'implementazione. Governare la sicurezza dell'SDLC e della supply chain del software richiede una piattaforma unificata che si estenda oltre le capacità native di GitHub. Una gestione efficace del rischio richiede una chiara tracciabilità e governance dal codice al cloud, assicurando che ogni immagine del contenitore e ogni artefatto rilasciato siano collegati a […]