Il nostro Blog

Le scansioni CVE (Common Vulnerabilities and Exposures) sono essenziali per proteggere le tue applicazioni software. Tuttavia, con la crescente complessità degli stack software, identificare e gestire tutti i CVE può essere difficile. Uno dei maggiori problemi con le scansioni CVE oggi è la prevalenza di falsi positivi, in cui viene identificata una vulnerabilità in un pacchetto che non è […]

Nel marzo 2023 la Casa Bianca ha pubblicato una nuova strategia nazionale per la sicurezza informatica. La strategia delinea un elenco di 5 pilastri che la Casa Bianca considera fondamentali per migliorare la sicurezza informatica per tutti gli americani, sia nel settore pubblico che in quello privato. Il terzo pilastro riguarda la spinta a modellare le forze di mercato per migliorare la sicurezza e la resilienza. Parte di ciò […]

Nell’aprile 2023 CISA ha pubblicato una nuova guida congiunta per la sicurezza del software denominata Shifting the Balance of Cybersecurity Risk: Security-by-Design and Default Principles. La Guida è stata redatta con la collaborazione di 9 diverse agenzie tra cui la NSA, l'Australian Cyber ​​Security Centre (ACSC) e l'Ufficio federale tedesco per la sicurezza informatica (BSI), tra gli altri. Il fatto che […]

Il 20 marzo OpenAI ha disattivato per alcune ore il popolare strumento di intelligenza artificiale generativa ChatGPT. Successivamente ha ammesso che il motivo dell'interruzione era una vulnerabilità della catena di fornitura del software che ha avuto origine nella libreria di archiviazione dati in memoria open source "Redis". Come risultato di questa vulnerabilità, c'era una finestra temporale (tra l'1 e le 10 […]

Nell'aprile 2023 DHS, CISA, DOE e CESER hanno pubblicato un rapporto intitolato "Software Bill of Materials (SBOM) Sharing Lifecycle Report". Lo scopo del rapporto era esaminare le modalità attuali con cui le persone condividono le SBOM e delineare, in termini generali, come questa condivisione potrebbe essere effettuata meglio, con maggiore sofisticatezza per […]

Poiché tutti stanno diventando sempre più consapevoli, la protezione delle catene di fornitura del software dovrebbe essere una parte vitale della strategia di sicurezza informatica di ogni organizzazione. Una delle principali difficoltà nella creazione di una strategia globale per mitigare le minacce alla catena di fornitura del software è la complessità e la diversità delle catene di fornitura. Ogni filiera è unica e gli elementi […]

Alla fine di marzo 2023, i ricercatori di sicurezza hanno denunciato un complesso attacco alla catena di fornitura software da parte di un hacker contro il software di comunicazione aziendale di 3CX, principalmente l’app desktop per chiamate vocali e videochiamate dell’azienda. I ricercatori hanno avvertito che l'app era in qualche modo trojanizzata e che il suo utilizzo avrebbe potuto esporre l'organizzazione a un possibile piano di esfiltrazione da parte di un autore di minacce. […]

Le condutture CI/CD sono notoriamente opache riguardo a ciò che avviene esattamente al loro interno. Anche se sei tu a scrivere il file di configurazione YAML (l'elenco delle istruzioni della pipeline) come puoi essere sicuro che tutto avvenga esattamente come descritto? Peggio ancora, la maggior parte degli oleodotti sono completamente effimeri, quindi anche se succede qualcosa di brutto non ci sono […]

OpenSSL è una libreria software open source ampiamente utilizzata per implementare comunicazioni sicure su reti di computer. Quanto ampiamente utilizzato? Bene, è probabile che se hai mai avuto accesso a una pagina web HTTPS lo hai fatto tramite una crittografia OpenSSL. La libreria fornisce funzioni e protocolli crittografici per la crittografia, la decrittografia, l'autenticazione e la verifica della firma digitale dei dati. OpenSSL può essere […]

Gli attacchi informatici riusciti contro prodotti hardware e software stanno diventando preoccupanti. Secondo Cybersecurity Ventures, la criminalità informatica costerà al mondo circa 7 trilioni di dollari nel 2022. Con un prezzo così alto non c’è da meravigliarsi che sia le aziende che i governi se ne stiano accorgendo. Gli Stati Uniti hanno aperto la strada con l’ordine esecutivo presidenziale […]