サイバーリスク

世界のソフトウェア サプライ チェーンは、機密情報や知的財産を盗み、システムの完全性を侵害すると脅すサイバー犯罪者の脅威に常にさらされています。これらの問題は、営利企業だけでなく、国民に安全かつ確実にサービスを提供する政府の能力にも影響を与える可能性があります。米国管理予算局 (OMB) […]

米国の 3 つの政府機関が協力して開発者に特定の慣行を採用するよう「強く奨励」する場合は、注意を払う必要があります。 CISA、NSA、ODNI は、サイバーハッカーの脅威を認識し、SolarWinds 攻撃を受けて、ソフトウェアの供給を確保するための推奨事項をまとめたものを共同で出版すると発表しました。

米国政府はサイバーセキュリティ政策の見直しを進めている。これには、ソフトウェア開発ライフサイクル (SDLC) 全体にわたるセキュリティの脆弱性を軽減することを目的とした、国立標準技術研究所 (NIST) によるセキュア ソフトウェア開発フレームワーク (SSDF) バージョン 1.1 のリリースが含まれます。この文書は、ソフトウェアベンダーとアクワイアラーに「…」を提供します。

アプリケーションや Web サイトからデータを抽出することを目的とした新たなソフトウェア サプライ チェーン攻撃が、20 を超える NPM パッケージで発見されました。

GitGat は、Rego で記述された自己完結型の OPA (Open Policy Agent) ポリシーのセットです。 GitGat は SCM アカウントのセキュリティ設定を評価し、ステータス レポートと実用的な推奨事項を提供します。

ベンダーの署名付き製品やアップデートは信頼できず、独自のコードがすでに変更または追加されている可能性があります。では、システムに悪意のあるファイルがインストールされていないことを本当に確信するにはどうすればよいでしょうか?

22 月 1.1 日、NIST は SSDF XNUMX (安全なソフトウェア開発フレームワーク) の最終バージョンをリリースしました。最終バージョンと以前のドラフトの違いをいくつか見ていきます。

CI の内部で何が起こっているかご存知ですか?深く理解していないと、革新的なサプライ チェーン攻撃に対して脆弱になる可能性があります。この記事ではそのような攻撃について説明します。

継続的保証は、最終的なソフトウェア製品のセキュリティに影響を与える可能性のある、製品のビルドや展開などの開発ライフ サイクルのすべてのイベントに関する証拠をきめ細かく収集します。

NIST のセキュア ソフトウェア開発フレームワーク (SSDF) は、ソフトウェア開発ライフサイクルにおける悪意のある介入と脆弱性への露出のリスクを軽減するために、透明性と耐改ざん対策を促進します。