Il nostro Blog

Nell'aprile 2023 DHS, CISA, DOE e CESER hanno pubblicato un rapporto intitolato "Software Bill of Materials (SBOM) Sharing Lifecycle Report". Lo scopo del rapporto era esaminare le modalità attuali con cui le persone condividono le SBOM e delineare, in termini generali, come questa condivisione potrebbe essere effettuata meglio, con maggiore sofisticatezza per […]

Poiché tutti stanno diventando sempre più consapevoli, la protezione delle catene di fornitura del software dovrebbe essere una parte vitale della strategia di sicurezza informatica di ogni organizzazione. Una delle principali difficoltà nella creazione di una strategia globale per mitigare le minacce alla catena di fornitura del software è la complessità e la diversità delle catene di fornitura. Ogni filiera è unica e gli elementi […]

Alla fine di marzo 2023, i ricercatori di sicurezza hanno denunciato un complesso attacco alla catena di fornitura software da parte di un hacker contro il software di comunicazione aziendale di 3CX, principalmente l’app desktop per chiamate vocali e videochiamate dell’azienda. I ricercatori hanno avvertito che l'app era in qualche modo trojanizzata e che il suo utilizzo avrebbe potuto esporre l'organizzazione a un possibile piano di esfiltrazione da parte di un autore di minacce. […]

Le condutture CI/CD sono notoriamente opache riguardo a ciò che avviene esattamente al loro interno. Anche se sei tu a scrivere il file di configurazione YAML (l'elenco delle istruzioni della pipeline) come puoi essere sicuro che tutto avvenga esattamente come descritto? Peggio ancora, la maggior parte degli oleodotti sono completamente effimeri, quindi anche se succede qualcosa di brutto non ci sono […]

OpenSSL è una libreria software open source ampiamente utilizzata per implementare comunicazioni sicure su reti di computer. Quanto ampiamente utilizzato? Bene, è probabile che se hai mai avuto accesso a una pagina web HTTPS lo hai fatto tramite una crittografia OpenSSL. La libreria fornisce funzioni e protocolli crittografici per la crittografia, la decrittografia, l'autenticazione e la verifica della firma digitale dei dati. OpenSSL può essere […]

Gli attacchi informatici riusciti contro prodotti hardware e software stanno diventando preoccupanti. Secondo Cybersecurity Ventures, la criminalità informatica costerà al mondo circa 7 trilioni di dollari nel 2022. Con un prezzo così alto non c’è da meravigliarsi che sia le aziende che i governi se ne stiano accorgendo. Gli Stati Uniti hanno aperto la strada con l’ordine esecutivo presidenziale […]

Le pipeline CI/CD (Continuous Integration/Continuous Delivery) automatizzate vengono utilizzate per accelerare lo sviluppo. È fantastico avere trigger o pianificazione che prendano il tuo codice, lo uniscano, lo costruiscano, lo testino e lo spediscano automaticamente. Tuttavia, essendo stati costruiti per essere veloci e facili da usare, significa che la maggior parte delle condutture non sono intrinsecamente costruite con sicurezza in […]

La velocità con cui vengono scoperte nuove vulnerabilità è in costante aumento. Attualmente si attesta ad una media di 15,000 CVE all'anno. Il 2022 si distingue con oltre 26,000 nuovi CVE segnalati. Ovviamente, non tutte le vulnerabilità sono rilevanti per il tuo software. Per capire se una particolare vulnerabilità è un problema, devi prima capire […]

Nonostante la crescente adozione della distinta base software (SBOM) come strumento di gestione delle vulnerabilità e sicurezza informatica, molte organizzazioni hanno ancora difficoltà a comprendere i due formati SBOM più popolari in uso oggi, SPDX e CycloneDX. In questo articolo confronteremo questi due formati per aiutarti a scegliere quello giusto per […]

L'approccio tradizionale alla protezione dei prodotti software si concentra sull'eliminazione delle vulnerabilità nel codice personalizzato e sulla salvaguardia delle applicazioni dai rischi noti nelle dipendenze di terze parti. Tuttavia, questo metodo è inadeguato e non riesce ad affrontare l’intera portata delle minacce poste dalla catena di fornitura del software. Trascurando di mettere in sicurezza ogni aspetto di questa catena, dalla produzione alla distribuzione […]