Con il crescente utilizzo di componenti di terze parti e le lunghe catene di fornitura di software, gli aggressori possono ora compromettere più pacchetti software contemporaneamente tramite un unico exploit. In risposta a questo nuovo vettore di attacco, sempre più team di sviluppo e DevOps, nonché professionisti della sicurezza, stanno cercando di incorporare una distinta base del software (SBOM). La filiera del software […]
Leggi di piùI rischi affrontati dalle catene di fornitura del software sono diventati in prima linea nelle conversazioni nell’ecosistema della sicurezza informatica. Ciò è in parte dovuto alla maggiore frequenza di questi attacchi alla catena di approvvigionamento, ma anche agli impatti potenzialmente di vasta portata che hanno quando si verificano. I dati del 2021 hanno mostrato attacchi alla catena di fornitura del software […]
Leggi di piùLa catena di fornitura globale del software è sempre minacciata da criminali informatici che minacciano di rubare informazioni sensibili o proprietà intellettuale e compromettere l’integrità del sistema. Questi problemi potrebbero avere un impatto sulle società commerciali e sulla capacità del governo di fornire servizi al pubblico in modo sicuro e affidabile. L’Ufficio di gestione e bilancio degli Stati Uniti (OMB) […]
Leggi di piùQuando tre agenzie governative statunitensi si riuniscono per “incoraggiare fortemente” gli sviluppatori ad adottare determinate pratiche, dovresti prestare attenzione. La CISA, la NSA e l'ODNI, riconoscendo la minaccia dei cyber-hacker e sulla scia dell'attacco SolarWinds, hanno annunciato che pubblicheranno congiuntamente una raccolta di raccomandazioni per garantire la fornitura di software […]
Leggi di piùIl governo degli Stati Uniti sta rinnovando le sue politiche di sicurezza informatica. Ciò include il rilascio del Secure Software Development Framework (SSDF) versione 1.1 da parte del National Institute of Standards and Technology (NIST), che mira a ridurre le vulnerabilità della sicurezza lungo il ciclo di vita dello sviluppo software (SDLC). Il documento fornisce ai venditori e agli acquirenti di software “un […]
Leggi di piùUn nuovo attacco alla supply chain del software progettato per estrarre dati da applicazioni e siti Web è stato rilevato in oltre due dozzine di pacchetti NPM.
Leggi di piùGitGat è un insieme di policy OPA (Open Policy Agent) autonome scritte in Rego. GitGat valuta le impostazioni di sicurezza del tuo account SCM e ti fornisce un rapporto sullo stato e consigli attuabili.
Leggi di piùNon puoi fidarti dei prodotti firmati e degli aggiornamenti dei fornitori e il tuo codice potrebbe essere già stato modificato o aggiunto. Cosa puoi fare, quindi, per essere veramente sicuro di non installare file dannosi nel tuo sistema?
Leggi di piùIl 22 marzo il NIST ha rilasciato la versione finale del SSDF 1.1 (Secure software development framework). Daremo un'occhiata ad alcune delle differenze tra la versione finale e la bozza precedente.
Leggi di piùSai cosa succede sotto il cofano del tuo CI? Senza una comprensione approfondita, potresti essere vulnerabile agli attacchi innovativi alla catena di fornitura. Questo articolo descrive un simile attacco.
Leggi di più