サイバーリスク

誰もが徐々に意識を高めているため、ソフトウェア サプライ チェーンの保護は、あらゆる組織のサイバー セキュリティ戦略の重要な部分となるはずです。ソフトウェア サプライ チェーンの脅威を軽減するための包括的な戦略を作成する際の主な困難の 1 つは、サプライ チェーンの複雑さと多様性です。各サプライチェーンは独自であり、その要素は […]

2023 年 3 月下旬、セキュリティ研究者は、XNUMXCX のビジネス コミュニケーション ソフトウェア (主に同社の音声およびビデオ通話デスクトップ アプリ) に対する脅威アクターによる複雑なソフトウェア サプライ チェーン攻撃を暴露しました。研究者らは、このアプリは何らかの形でトロイの木馬化されており、これを使用すると組織が脅威アクターによる窃盗計画にさらされる可能性があると警告した。 […]

CI/CD パイプラインは、内部で正確に何が行われているかが不透明であることで知られています。たとえ YAML 構成ファイル (命令のパイプライン リスト) を作成したのはあなただったとしても、すべてが記述どおりに正確に行われることをどうやって確認できるでしょうか?さらに悪いことに、ほとんどのパイプラインは完全に一時的なものであるため、たとえ何か悪いことが起こっても、何も起こりません。

OpenSSL は、コンピュータ ネットワーク上で安全な通信を実装するために広く使用されているオープンソース ソフトウェア ライブラリです。どのくらい広く使われていますか?そうですね、HTTPS Web ページにアクセスしたことがある場合は、OpenSSL 暗号化を介してアクセスした可能性があります。このライブラリは、データの暗号化、復号化、認証、デジタル署名検証のための暗号化機能とプロトコルを提供します。 OpenSSL は […]

ハードウェア製品とソフトウェア製品の両方に対するサイバー攻撃が驚くほど頻繁になっています。 Cyber​​security Ventures によると、7 年にサイバー犯罪による世界の被害額は推定 2022 兆ドルに達します。これほど高額な費用がかかるため、企業と政府の両方が注目するのも不思議ではありません。米国は大統領大統領令で先導した […]

自動化された CI/CD (継続的インテグレーション/継続的デリバリー) パイプラインは、開発をスピードアップするために使用されます。コードを取得し、マージ、ビルド、テストし、自動的に出荷するトリガーやスケジューリングがあるのは素晴らしいことです。ただし、速度と使いやすさを重視して構築されているということは、ほとんどのパイプラインは本質的にセキュリティを考慮して構築されていないことを意味します […]

新しい脆弱性が公開される割合は常に増加しています。現在、年間平均 15,000 CVE に達しています。 2022 年は 26,000 件を超える新しい CVE が報告されており、際立っています。明らかに、すべての脆弱性がソフトウェアに関連しているわけではありません。特定の脆弱性が問題であるかどうかを判断するには、まず次のことを把握する必要があります […]

脆弱性管理およびサイバーセキュリティ ツールとしてソフトウェア部品表 (SBOM) の採用が増えているにもかかわらず、多くの組織は、現在使用されている 2 つの最も一般的な SBOM 形式である SPDX と CycloneDX を理解するのに依然として苦労しています。この記事では、これら 2 つの形式を比較して、適切な形式を選択できるようにします […]

先月、Dark Reading からこの記事を見つけました。とても見慣れたものでした。この記事で説明されている GitHub のクロスワークフロー アーティファクト ポイズニングの脆弱性が、2022 年 XNUMX 月に報告された GitHub のクロスワークフロー キャッシュ ポイズニングの脆弱性と非常によく似ていることに気づくまでに、時間はかかりませんでした。 GitHub ワークフロー - GitHub の重要なコンポーネント[…]

サードパーティ コンポーネントの使用が増加し、ソフトウェア サプライ チェーンが長くなったことで、攻撃者は 1 つのエクスプロイトによって多くのソフトウェア パッケージを同時に侵害できるようになりました。この新たな攻撃ベクトルに対応して、セキュリティ専門家だけでなく、より多くの開発チームや DevOps チームがソフトウェア部品表 (SBOM) の導入を検討しています。ソフトウェアのサプライチェーン […]