サイバーリスク

新しい脆弱性が公開される割合は常に増加しています。現在、年間平均 15,000 CVE に達しています。 2022 年は 26,000 件を超える新しい CVE が報告されており、際立っています。明らかに、すべての脆弱性がソフトウェアに関連しているわけではありません。特定の脆弱性が問題であるかどうかを判断するには、まず次のことを把握する必要があります […]

脆弱性管理およびサイバーセキュリティ ツールとしてソフトウェア部品表 (SBOM) の採用が増えているにもかかわらず、多くの組織は、現在使用されている 2 つの最も一般的な SBOM 形式である SPDX と CycloneDX を理解するのに依然として苦労しています。この記事では、これら 2 つの形式を比較して、適切な形式を選択できるようにします […]

先月、Dark Reading からこの記事を見つけました。とても見慣れたものでした。この記事で説明されている GitHub のクロスワークフロー アーティファクト ポイズニングの脆弱性が、2022 年 XNUMX 月に報告された GitHub のクロスワークフロー キャッシュ ポイズニングの脆弱性と非常によく似ていることに気づくまでに、時間はかかりませんでした。 GitHub ワークフロー - GitHub の重要なコンポーネント[…]

サードパーティ コンポーネントの使用が増加し、ソフトウェア サプライ チェーンが長くなったことで、攻撃者は 1 つのエクスプロイトによって多くのソフトウェア パッケージを同時に侵害できるようになりました。この新たな攻撃ベクトルに対応して、セキュリティ専門家だけでなく、より多くの開発チームや DevOps チームがソフトウェア部品表 (SBOM) の導入を検討しています。ソフトウェアのサプライチェーン […]

ソフトウェア サプライ チェーンが直面するリスクは、サイバーセキュリティ エコシステムにおける議論の最前線に位置しています。これは、こうしたサプライ チェーン攻撃の頻度が増加していることも原因の 2021 つですが、実際に攻撃が発生した場合に広範囲に影響を与える可能性があるためでもあります。 XNUMX 年の統計では、ソフトウェア サプライ チェーン攻撃が示されています […]

世界のソフトウェア サプライ チェーンは、機密情報や知的財産を盗み、システムの完全性を侵害すると脅すサイバー犯罪者の脅威に常にさらされています。これらの問題は、営利企業だけでなく、国民に安全かつ確実にサービスを提供する政府の能力にも影響を与える可能性があります。米国管理予算局 (OMB) […]

米国の 3 つの政府機関が協力して開発者に特定の慣行を採用するよう「強く奨励」する場合は、注意を払う必要があります。 CISA、NSA、ODNI は、サイバーハッカーの脅威を認識し、SolarWinds 攻撃を受けて、ソフトウェアの供給を確保するための推奨事項をまとめたものを共同で出版すると発表しました。

米国政府はサイバーセキュリティ政策の見直しを進めている。これには、ソフトウェア開発ライフサイクル (SDLC) 全体にわたるセキュリティの脆弱性を軽減することを目的とした、国立標準技術研究所 (NIST) によるセキュア ソフトウェア開発フレームワーク (SSDF) バージョン 1.1 のリリースが含まれます。この文書は、ソフトウェアベンダーとアクワイアラーに「…」を提供します。

アプリケーションや Web サイトからデータを抽出することを目的とした新たなソフトウェア サプライ チェーン攻撃が、20 を超える NPM パッケージで発見されました。

GitGat は、Rego で記述された自己完結型の OPA (Open Policy Agent) ポリシーのセットです。 GitGat は SCM アカウントのセキュリティ設定を評価し、ステータス レポートと実用的な推奨事項を提供します。