Il nostro Blog

Rischio informaticoImmagine dei dadi di rischio
Nir Peleg Utilizzo di SBOM e analisi dei feed per proteggere la catena di fornitura del software

"I fornitori di software devono essere ritenuti responsabili quando non riescono a rispettare il dovere di diligenza nei confronti dei consumatori, delle imprese o dei fornitori di infrastrutture critiche" (la Casa Bianca). Oggi, ci si aspetta che qualsiasi fornitore di software si assuma una maggiore responsabilità nel garantire l’integrità e la sicurezza del software attraverso accordi contrattuali, rilasci e aggiornamenti del software, notifiche e […]

Per saperne di più
Rischio informaticosposta l'immagine a sinistra
Rubi Arbel Equilibrio sorprendente: ridefinire la sicurezza del software con "Shift Left" e Guardrail SDLC

TL;DR Negli ultimi anni, l'industria tecnologica ha sostenuto con fervore il concetto di "spostamento a sinistra" nello sviluppo del software, sostenendo l'integrazione precoce delle pratiche di sicurezza nel ciclo di vita dello sviluppo. Questo movimento mira a conferire agli sviluppatori la responsabilità di garantire la sicurezza del loro codice fin dall'inizio del progetto. Tuttavia, mentre le intenzioni alla base di questo approccio sono […]

Per saperne di più
Rischio informaticoDistinta base ml
Danny Nebenzahl ML-Cosa? Comprensione del concetto e degli usi di ML-Bom

Il settore non ha ancora compreso appieno l’idea di una SBOM e abbiamo già iniziato a sentire un nuovo termine: ML-BOM – Machine Learning Bill of Material. Prima che si scateni il panico, cerchiamo di capire perché dovrebbe essere prodotta una distinta base di questo tipo, le sfide nella generazione di una distinta base ML e come può apparire una distinta base ML. […]

Per saperne di più
Rischio informatico
Danny Nebenzahl Un incontro segreto nella catena di fornitura del software

Uno dei rischi della catena di fornitura del software è la fuga di segreti. I segreti sono presenti in tutta la catena di fornitura del software; gli sviluppatori e le pipeline CI\CD devono utilizzare segreti per accedere a SCM, pipeline, registri degli artefatti, ambienti cloud e servizi esterni. E quando i segreti sono ovunque, è una questione di tempo […]

Per saperne di più
Rischio informaticoL'immagine di una scacchiera
Barak Brudo Cosa è cambiato nel Cybersecurity Framework 2.0 del NIST e perché dovrebbe interessarti?

All’inizio di agosto, il National Institute of Standards and Technology (NIST) degli Stati Uniti ha pubblicato una bozza della versione 2.0 del suo storico Cybersecurity Framework, pubblicato per la prima volta nel 2014. Molte cose sono cambiate negli ultimi 10 anni, non ultimo il crescente livello di minacce alla sicurezza informatica che il documento originale prevedeva di aiutare i critici […]

Per saperne di più
Rischio informaticoUn'immagine che rappresenta il grafico delle dipendenze
Mikey Strauss Grafico delle dipendenze SBOM CycloneDX: a cosa serve?

Recentemente abbiamo tutti sentito parlare molto di SBOM. Abbiamo sentito parlare della loro utilità, della loro composizione e dei loro requisiti di sicurezza e regolamentazione. Questa volta voglio prendermi il tempo per parlare di un segmento un po' meno conosciuto del CyclonDX SBOM: il grafico delle dipendenze. A differenza del nome suggerisce, il grafico delle dipendenze non è un […]

Per saperne di più
Rischio informaticoL'immagine di un puzzle rotto
Barak Brudo Firma SBOM: risolvere un puzzle in continua evoluzione

Molte parole sono state scritte negli ultimi anni sulla SBOM – Software Bill Of Materials. Con tutta questa visibilità, le persone sentono di sapere cosa è sufficiente spiegare: si tratta di un elenco di ingredienti software, è importante per la trasparenza e la sicurezza e aiuta a esporre le dipendenze transitorie. Tutto […]

Per saperne di più
Rischio informatico
Barak Brudo Utilizzo di Valint per applicare policy al tuo SDLC

Valint è lo strumento principale di Scribe per creare, gestire, firmare e verificare prove. In un post precedente, abbiamo trattato la teoria dell'utilizzo della firma e della verifica delle prove come strumento principale per convalidare la sicurezza della pipeline CI/CD. Come breve promemoria, il modello proposto da Scribe include diversi elementi costitutivi che possono essere mescolati e […]

Per saperne di più
Rischio informatico
Barak Brudo Il modulo comune di autocertificazione del software sicuro CISA: un punto di svolta per la responsabilità

Nel settembre 2022, l'Office of Management and Budget (OMB) degli Stati Uniti ha emesso una nota fondamentale riguardante le misure necessarie per proteggere la catena di fornitura del software a un livello accettabile dal governo federale degli Stati Uniti. Qualsiasi azienda che desideri fare affari con il governo e qualsiasi agenzia federale che produce software deve conformarsi […]

Per saperne di più
Rischio informatico
Barak Brudo Come evitare il burnout CVE e l'affaticamento degli avvisi nelle scansioni delle vulnerabilità?

Le scansioni CVE (Common Vulnerabilities and Exposures) sono essenziali per proteggere le tue applicazioni software. Tuttavia, con la crescente complessità degli stack software, identificare e gestire tutti i CVE può essere difficile. Uno dei maggiori problemi con le scansioni CVE oggi è la prevalenza di falsi positivi, in cui viene identificata una vulnerabilità in un pacchetto che non è […]

Per saperne di più
1 2 3 4 5 6