ブログ

サイバーリスク
マイキー・ストラウス 大規模な SLSA コンプライアンス: Scribe による来歴生成

この記事は、Viktor Kartashov氏とDaniel Nebenzahl氏と共同執筆しました。監査人のリトマス試験:ビルドを証明できますか?「出荷するすべてのコンテナイメージが、あなたが主張する通りに構築されたことを、明確に証明できますか?」多くの監査人は、何週間もかけて慌ただしくYAMLをリファクタリングするのではなく、迅速かつ確信に満ちた回答を期待しています。SLSA(サプライチェーンレベル)は[…]

続きを読む
サイバーリスク
マイキー・ストラウス Scribe SecurityによるSP 800–190継続的コンテナコンプライアンスの達成

Viktor Kartashovとの共著。NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供し、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、課題も増えています。しかし、ここでのSP 800–190は単なるユースケースに過ぎません。より大きな考え方は、[…]

続きを読む
サイバーリスク
ダニー・ネベンザール In-Toto が CNCF に卒業: ソフトウェア サプライ チェーンのセキュリティ確保を容易に

in-totoとは何か、そしてどのようにソフトウェアサプライチェーンを保護するのか?近年見られる3CX、Codecov、Solarwindsといったソフトウェアサプライチェーン攻撃は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これを受けて、オープンソースコミュニティは、ソフトウェアデリバリーのあらゆる段階で整合性を確保するためのフレームワークであるin-totoを開発しました。in-toto […]

続きを読む
サイバーリスク
ダニー・ネベンザール Scribe Security のポリシー・アズ・コード・ガードレールが、あらゆるタイプの開発者によってもたらされる SDLC リスクを抑制する方法

今日のソフトウェア開発環境では、開発者のプロファイルの多様性は強みであると同時に弱点でもあります。添付の​​分類法は、善意ではあるものの不完全な「優良開発者」から、AI 生成コードを使用する「市民開発者」、さらには「悪意のある開発者」まで多岐にわたり、経験、意図、行動のさまざまなレベルが、ソフトウェア開発ライフサイクル (SDLC) に重大なリスクをもたらす可能性があることを浮き彫りにしています。Scribe Security は […]

続きを読む
未分類
ルビ・アルベル NCCoE と連携してソフトウェア サプライ チェーンと DevOps セキュリティを強化

Scribe Security では、サイバーセキュリティの将来はソフトウェア サプライ チェーンを内側から保護することにかかっていると考えています。そのため、私たちは National Cyber​​security Center of Excellence (NCCoE) のソフトウェア サプライ チェーンと DevOps セキュリティ プラクティス プロジェクトに協力できることを誇りに思っています。このイニシアチブでは、公共部門と民間部門の技術貢献者が集まり、どのように […]

続きを読む
サイバーリスク
ドロン・ペリ GitHub を超えた SDLC、サプライ チェーンのセキュリティとコンプライアンス

ほとんどのソフトウェア組織は、コード管理、ビルド、レジストリ、配信、および展開に複数のプラットフォームを使用しています。SDLC とソフトウェア サプライ チェーンのセキュリティを管理するには、GitHub のネイティブ機能を超える統合プラットフォームが必要です。効果的なリスク管理には、コードからクラウドまでの明確なトレーサビリティとガバナンスが必要です。つまり、すべてのコンテナ イメージとリリースされた成果物が […] にリンクされていることを確認する必要があります。

続きを読む
サイバーリスク
ダニー・ネベンザール 新しい連邦ソフトウェア セキュリティ EO 14144 を理解して遵守する: 実践ガイド

連邦政府のソフトウェア セキュリティの状況は、大きな変化を遂げています。2025 年 XNUMX 月、ホワイト ハウスは、連邦政府機関が使用するサードパーティ ソフトウェア サプライ チェーンのセキュリティと透明性を強化することに重点を置いた新しい大統領令を発行しました。この命令は、特に次のことを考慮すると、ソフトウェア プロバイダーが理解し、準備する必要がある重要な変更を導入します。[…]

続きを読む
サイバーリスクコードの上に虫眼鏡の画像
ダニー・ネベンザール SDLC 全体に SBOM を統合する方法

急速に進化する今日のソフトウェア開発環境では、セキュリティとコンプライアンスが最重要事項となっています。組織がサードパーティのコンポーネントやオープンソース ソフトウェアにますます依存するようになるにつれ、ソフトウェアの内部構造を理解することがこれまで以上に重要になっています。そこで登場するのがソフトウェア部品表 (SBOM) です。これは、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、依存関係の詳細なリストです。SBOM を統合すると […]

続きを読む
未分類コード要塞画像
ダニー・ネベンザール 最近のソフトウェア サプライ チェーン攻撃に対する防御: 教訓と戦略

近年、ソフトウェア サプライ チェーン攻撃は、組織とそのサプライヤー間の複雑な関係ネットワークを標的とする、重大なサイバー セキュリティの脅威として浮上しています。この記事では、最近の注目すべきサプライ チェーン攻撃を詳しく取り上げ、その発生方法を調べ、防止と軽減の戦略について説明します。機密データを侵害する侵害から、ソフトウェア サプライ チェーンを悪用する攻撃まで、さまざまな攻撃が存在します。

続きを読む
サイバーリスク地図とコンパスの画像
ドロン・ペリ 地図なしで戦いに行きますかね?

ソフトウェア サプライ チェーンのセキュリティ確保は、「ソフトウェア ファクトリー」の発見とガバナンスから始まります。今日のソフトウェア開発環境では、チームはコード リポジトリ、ビルド パイプライン、コンテナー イメージなどの分散資産を扱います。この分散モデルは柔軟性を提供し、生産を高速化しますが、資産を断片化し、ガバナンスとセキュリティ監視を複雑にします。特に […]

続きを読む
1 2 3 ... 6
人気の投稿
大規模な SLSA コンプライアンス: Scribe による来歴生成Scribe SecurityによるSP 800–190継続的コンテナコンプライアンスの達成In-Toto が CNCF に卒業: ソフトウェア サプライ チェーンのセキュリティ確保を容易にScribe Security のポリシー・アズ・コード・ガードレールが、あらゆるタイプの開発者によってもたらされる SDLC リスクを抑制する方法
カテゴリー
お問い合わせ