Il nostro Blog

Uno dei rischi della catena di fornitura del software è la fuga di segreti. I segreti sono presenti in tutta la catena di fornitura del software; gli sviluppatori e le pipeline CI\CD devono utilizzare segreti per accedere a SCM, pipeline, registri degli artefatti, ambienti cloud e servizi esterni. E quando i segreti sono ovunque, è una questione di tempo […]

All’inizio di agosto, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha pubblicato una bozza della versione 2.0 del suo storico Cybersecurity Framework, pubblicato per la prima volta nel 2014. Molte cose sono cambiate negli ultimi 10 anni, non ultimo il crescente livello di minacce alla sicurezza informatica che il documento originale prevedeva di aiutare i critici […]

Recentemente abbiamo tutti sentito parlare molto di SBOM. Abbiamo sentito parlare della loro utilità, della loro composizione e dei loro requisiti di sicurezza e regolamentazione. Questa volta voglio prendermi il tempo per parlare di un segmento un po' meno conosciuto del CyclonDX SBOM: il grafico delle dipendenze. A differenza del nome suggerisce, il grafico delle dipendenze non è un […]

Molte parole sono state scritte negli ultimi anni sulla SBOM – Software Bill Of Materials. Con tutta questa visibilità, le persone sentono di sapere cosa è sufficiente spiegare: si tratta di un elenco di ingredienti software, è importante per la trasparenza e la sicurezza e aiuta a esporre le dipendenze transitorie. Tutto […]

Valint è lo strumento principale di Scribe per creare, gestire, firmare e verificare prove. In un post precedente, abbiamo trattato la teoria dell'utilizzo della firma e della verifica delle prove come strumento principale per convalidare la sicurezza della pipeline CI/CD. Come breve promemoria, il modello proposto da Scribe include diversi elementi costitutivi che possono essere mescolati e […]

Nel settembre 2022, l'Office of Management and Budget (OMB) degli Stati Uniti ha emesso una nota fondamentale riguardante le misure necessarie per proteggere la catena di fornitura del software a un livello accettabile dal governo federale degli Stati Uniti. Qualsiasi azienda che desideri fare affari con il governo e qualsiasi agenzia federale che produce software deve conformarsi […]

Le scansioni CVE (Common Vulnerabilities and Exposures) sono essenziali per proteggere le tue applicazioni software. Tuttavia, con la crescente complessità degli stack software, identificare e gestire tutti i CVE può essere difficile. Uno dei maggiori problemi con le scansioni CVE oggi è la prevalenza di falsi positivi, in cui viene identificata una vulnerabilità in un pacchetto che non è […]

Nel marzo 2023 la Casa Bianca ha pubblicato una nuova strategia nazionale per la sicurezza informatica. La strategia delinea un elenco di 5 pilastri che la Casa Bianca considera fondamentali per migliorare la sicurezza informatica per tutti gli americani, sia nel settore pubblico che in quello privato. Il terzo pilastro riguarda la spinta a modellare le forze di mercato per migliorare la sicurezza e la resilienza. Parte di ciò […]

Nell’aprile 2023 CISA ha pubblicato una nuova guida congiunta per la sicurezza del software denominata Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. La Guida è stata redatta con la collaborazione di 9 diverse agenzie tra cui la NSA, l'Australian Cyber ​​Security Centre (ACSC) e l'Ufficio federale tedesco per la sicurezza informatica (BSI), tra gli altri. Il fatto che […]

Il 20 marzo OpenAI ha disattivato per alcune ore il popolare strumento di intelligenza artificiale generativa ChatGPT. Successivamente ha ammesso che il motivo dell'interruzione era una vulnerabilità della catena di fornitura del software che ha avuto origine nella libreria di archiviazione dati in memoria open source "Redis". Come risultato di questa vulnerabilità, c'era una finestra temporale (tra l'1 e le 10 […]