"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]
Per saperne di piùTL;DR Negli ultimi anni, l'industria tecnologica ha sostenuto con fervore il concetto di "spostamento a sinistra" nello sviluppo del software, sostenendo l'integrazione precoce delle pratiche di sicurezza nel ciclo di vita dello sviluppo. Questo movimento mira a conferire agli sviluppatori la responsabilità di garantire la sicurezza del loro codice fin dall'inizio del progetto. Tuttavia, mentre le intenzioni alla base di questo approccio sono […]
Per saperne di piùIl settore non ha ancora compreso appieno l’idea di una SBOM e abbiamo già iniziato a sentire un nuovo termine: ML-BOM – Machine Learning Bill of Material. Prima che si scateni il panico, cerchiamo di capire perché dovrebbe essere prodotta una distinta base di questo tipo, le sfide nella generazione di una distinta base ML e come può apparire una distinta base ML. […]
Per saperne di piùUno dei rischi della catena di fornitura del software è la fuga di segreti. I segreti sono presenti in tutta la catena di fornitura del software; gli sviluppatori e le pipeline CI\CD devono utilizzare segreti per accedere a SCM, pipeline, registri degli artefatti, ambienti cloud e servizi esterni. E quando i segreti sono ovunque, è una questione di tempo […]
Per saperne di piùAll’inizio di agosto, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha pubblicato una bozza della versione 2.0 del suo storico Cybersecurity Framework, pubblicato per la prima volta nel 2014. Molte cose sono cambiate negli ultimi 10 anni, non ultimo il crescente livello di minacce alla sicurezza informatica che il documento originale prevedeva di aiutare i critici […]
Per saperne di piùRecentemente abbiamo tutti sentito parlare molto di SBOM. Abbiamo sentito parlare della loro utilità, della loro composizione e dei loro requisiti di sicurezza e regolamentazione. Questa volta voglio prendermi il tempo per parlare di un segmento un po' meno conosciuto del CyclonDX SBOM: il grafico delle dipendenze. A differenza del nome suggerisce, il grafico delle dipendenze non è un […]
Per saperne di piùMolte parole sono state scritte negli ultimi anni sulla SBOM – Software Bill Of Materials. Con tutta questa visibilità, le persone sentono di sapere cosa è sufficiente spiegare: si tratta di un elenco di ingredienti software, è importante per la trasparenza e la sicurezza e aiuta a esporre le dipendenze transitorie. Tutto […]
Per saperne di piùValint è lo strumento principale di Scribe per creare, gestire, firmare e verificare prove. In un post precedente, abbiamo trattato la teoria dell'utilizzo della firma e della verifica delle prove come strumento principale per convalidare la sicurezza della pipeline CI/CD. Come breve promemoria, il modello proposto da Scribe include diversi elementi costitutivi che possono essere mescolati e […]
Per saperne di piùNel settembre 2022, l'Office of Management and Budget (OMB) degli Stati Uniti ha emesso una nota fondamentale riguardante le misure necessarie per proteggere la catena di fornitura del software a un livello accettabile dal governo federale degli Stati Uniti. Qualsiasi azienda che desideri fare affari con il governo e qualsiasi agenzia federale che produce software deve conformarsi […]
Per saperne di piùLe scansioni CVE (Common Vulnerabilities and Exposures) sono essenziali per proteggere le tue applicazioni software. Tuttavia, con la crescente complessità degli stack software, identificare e gestire tutti i CVE può essere difficile. Uno dei maggiori problemi con le scansioni CVE oggi è la prevalenza di falsi positivi, in cui viene identificata una vulnerabilità in un pacchetto che non è […]
Per saperne di più