Il nostro Blog

Il mese scorso mi sono imbattuto in questo articolo di Dark Reading. Sembrava molto familiare. Non mi ci è voluto molto per capire che la vulnerabilità di avvelenamento degli artefatti del cross-workflow di GitHub discussa nell'articolo aveva una sorprendente somiglianza con la vulnerabilità di avvelenamento della cache del cross-workflow di GitHub che abbiamo segnalato nel marzo 2022. Flussi di lavoro GitHub: un componente chiave di GitHub […]

Con il crescente utilizzo di componenti di terze parti e le lunghe catene di fornitura di software, gli aggressori possono ora compromettere più pacchetti software contemporaneamente tramite un unico exploit. In risposta a questo nuovo vettore di attacco, sempre più team di sviluppo e DevOps, nonché professionisti della sicurezza, stanno cercando di incorporare una distinta base del software (SBOM). La filiera del software […]

I rischi affrontati dalle catene di fornitura del software sono diventati in prima linea nelle conversazioni nell’ecosistema della sicurezza informatica. Ciò è in parte dovuto alla maggiore frequenza di questi attacchi alla catena di approvvigionamento, ma anche agli impatti potenzialmente di vasta portata che hanno quando si verificano. I dati del 2021 hanno mostrato attacchi alla catena di fornitura del software […]

La catena di fornitura globale del software è sempre minacciata da criminali informatici che minacciano di rubare informazioni sensibili o proprietà intellettuale e compromettere l’integrità del sistema. Questi problemi potrebbero avere un impatto sulle società commerciali e sulla capacità del governo di fornire servizi al pubblico in modo sicuro e affidabile. L’Ufficio di gestione e bilancio degli Stati Uniti (OMB) […]

Quando tre agenzie governative statunitensi si riuniscono per “incoraggiare fortemente” gli sviluppatori ad adottare determinate pratiche, dovresti prestare attenzione. La CISA, la NSA e l'ODNI, riconoscendo la minaccia dei cyber-hacker e sulla scia dell'attacco SolarWinds, hanno annunciato che pubblicheranno congiuntamente una raccolta di raccomandazioni per garantire la fornitura di software […]

Il governo degli Stati Uniti sta rinnovando le sue politiche di sicurezza informatica. Ciò include il rilascio del Secure Software Development Framework (SSDF) versione 1.1 da parte del National Institute of Standards and Technology (NIST), che mira a ridurre le vulnerabilità della sicurezza lungo il ciclo di vita dello sviluppo software (SDLC). Il documento fornisce ai venditori e agli acquirenti di software “un […]

Un nuovo attacco alla supply chain del software progettato per estrarre dati da applicazioni e siti Web è stato rilevato in oltre due dozzine di pacchetti NPM.

GitGat è un insieme di policy OPA (Open Policy Agent) autonome scritte in Rego. GitGat valuta le impostazioni di sicurezza del tuo account SCM e ti fornisce un rapporto sullo stato e consigli attuabili.

Non puoi fidarti dei prodotti firmati e degli aggiornamenti dei fornitori e il tuo codice potrebbe essere già stato modificato o aggiunto. Cosa puoi fare, quindi, per essere veramente sicuro di non installare file dannosi nel tuo sistema?

Il 22 marzo il NIST ha rilasciato la versione finale del SSDF 1.1 (Secure software development framework). Daremo un'occhiata ad alcune delle differenze tra la versione finale e la bozza precedente.