Il nostro Blog

Le pipeline CI/CD (Continuous Integration/Continuous Delivery) automatizzate vengono utilizzate per accelerare lo sviluppo. È fantastico avere trigger o pianificazione che prendano il tuo codice, lo uniscano, lo costruiscano, lo testino e lo spediscano automaticamente. Tuttavia, essendo stati costruiti per essere veloci e facili da usare, significa che la maggior parte delle condutture non sono intrinsecamente costruite con sicurezza in […]

La velocità con cui vengono scoperte nuove vulnerabilità è in costante aumento. Attualmente si attesta ad una media di 15,000 CVE all'anno. Il 2022 si distingue con oltre 26,000 nuovi CVE segnalati. Ovviamente, non tutte le vulnerabilità sono rilevanti per il tuo software. Per capire se una particolare vulnerabilità è un problema, devi prima capire […]

Nonostante la crescente adozione della distinta base software (SBOM) come strumento di gestione delle vulnerabilità e sicurezza informatica, molte organizzazioni hanno ancora difficoltà a comprendere i due formati SBOM più popolari in uso oggi, SPDX e CycloneDX. In questo articolo confronteremo questi due formati per aiutarti a scegliere quello giusto per […]

L'approccio tradizionale alla protezione dei prodotti software si concentra sull'eliminazione delle vulnerabilità nel codice personalizzato e sulla salvaguardia delle applicazioni dai rischi noti nelle dipendenze di terze parti. Tuttavia, questo metodo è inadeguato e non riesce ad affrontare l’intera portata delle minacce poste dalla catena di fornitura del software. Trascurando di mettere in sicurezza ogni aspetto di questa catena, dalla produzione alla distribuzione […]

Il mese scorso mi sono imbattuto in questo articolo di Dark Reading. Sembrava molto familiare. Non mi ci è voluto molto per capire che la vulnerabilità di avvelenamento degli artefatti del cross-workflow di GitHub discussa nell'articolo aveva una sorprendente somiglianza con la vulnerabilità di avvelenamento della cache del cross-workflow di GitHub che abbiamo segnalato nel marzo 2022. Flussi di lavoro GitHub: un componente chiave di GitHub […]

Con il crescente utilizzo di componenti di terze parti e le lunghe catene di fornitura di software, gli aggressori possono ora compromettere più pacchetti software contemporaneamente tramite un unico exploit. In risposta a questo nuovo vettore di attacco, sempre più team di sviluppo e DevOps, nonché professionisti della sicurezza, stanno cercando di incorporare una distinta base del software (SBOM). La filiera del software […]

I rischi affrontati dalle catene di fornitura del software sono diventati in prima linea nelle conversazioni nell’ecosistema della sicurezza informatica. Ciò è in parte dovuto alla maggiore frequenza di questi attacchi alla catena di approvvigionamento, ma anche agli impatti potenzialmente di vasta portata che hanno quando si verificano. I dati del 2021 hanno mostrato attacchi alla catena di fornitura del software […]

La catena di fornitura globale del software è sempre minacciata da criminali informatici che minacciano di rubare informazioni sensibili o proprietà intellettuale e compromettere l’integrità del sistema. Questi problemi potrebbero avere un impatto sulle società commerciali e sulla capacità del governo di fornire servizi al pubblico in modo sicuro e affidabile. L’Ufficio di gestione e bilancio degli Stati Uniti (OMB) […]

Quando tre agenzie governative statunitensi si riuniscono per “incoraggiare fortemente” gli sviluppatori ad adottare determinate pratiche, dovresti prestare attenzione. La CISA, la NSA e l'ODNI, riconoscendo la minaccia dei cyber-hacker e sulla scia dell'attacco SolarWinds, hanno annunciato che pubblicheranno congiuntamente una raccolta di raccomandazioni per garantire la fornitura di software […]

Il governo degli Stati Uniti sta rinnovando le sue politiche di sicurezza informatica. Ciò include il rilascio del Secure Software Development Framework (SSDF) versione 1.1 da parte del National Institute of Standards and Technology (NIST), che mira a ridurre le vulnerabilità della sicurezza lungo il ciclo di vita dello sviluppo software (SDLC). Il documento fornisce ai venditori e agli acquirenti di software “un […]