ブログ

サイバーリスク
マイキー・ストラウス プロアクティブなパイプラインセキュリティ:ScribeによるOWASPトップ10 CI/CDリスクの適用

この記事は、Mikey StraussとViktor Kartashovの共同執筆です。OWASP Top 10のリスクを自動化・監査可能なコントロールに変える 現代のDevOps環境では、CI/CDパイプラインがソフトウェアデリバリーの基盤となっています。しかし、スピードが速いほど、リスクも大きくなります。組織がリリースを加速させるにつれ、攻撃者は安全でないパイプラインを標的に悪意のあるコードを挿入したり、機密情報を盗み出したり、あるいは[…]

続きを読む
サイバーリスク
ダニー・ネベンザール Scribe MCPでセキュリティデータと対話する

静的レポートから会話型セキュリティへ 今日のセキュリティチームは、SBOM、CVE、xAST結果、コンプライアンスチェック、リスクダッシュボードなど、膨大なデータに埋もれています。しかし、そこから得られる洞察は、限られた専門家しかクエリを実行できないダッシュボードに閉じ込められてしまうことがよくあります。Scribe Securityは、セキュリティデータは会話と同じくらいアクセスしやすいべきだと考えています。だからこそ[…]

続きを読む
サイバーリスク
ダニー・ネベンザール 継続的な保証からエージェント型アプリケーションセキュリティへ:セキュリティがスピードに追いつくまでのストーリー

ほぼすべてのエンジニアリングチームで、それは同じように始まります。開発者は迅速に作業を進め、機能を構築し、サードパーティ製パッケージを統合し、そして今ではAIコパイロットを活用しながらコードを記述しています。CI/CDパイプラインは昼夜を問わず稼働し、かつてない速さでアップデートを本番環境にプッシュしています。顧客はそのスピードに満足しています。しかし、すべてのCISOの心の奥底では[…]

続きを読む
サイバーリスク
ダニー・ネベンザール AI コード、AI 修正: 自動化により、作成されたものを保護できますか?

Vibeコーディングプロジェクトに脆弱性が潜んでいる!AIを活用したソフトウェア開発は、SFから現実のものとなりました。AIでコーディングしたプロジェクトは完璧に動作するかもしれません…ハッカーが欠陥を見つけるまでは。この記事では、AIが生成したコードに欠陥や脆弱性が多数含まれていたとしても、信頼できる製品になるまでの道のりを、具体的な手順を追って解説します。[…]

続きを読む
サイバーリスク
ダニー・ネベンザール セキュリティ上の発見事項が業務の遅延を引き起こす前に修正する:Remus – ScribeのAI自動修復の仕組み

開発者の負担を想像してみてください。一日中コーディングに追われ、締め切りが迫り、そして恐ろしいSASTレポートが届きます。何百もの発見事項、それぞれが潜在的な脆弱性であり、細心の注意を払う必要があります。このプロセスは反復的で時間がかかり、正直に言って、時には士気をくじくほどの単調な作業です。そして状況は悪化するばかりです。コード生成は[…]

続きを読む
サイバーリスク
マイキー・ストラウス 大規模な SLSA コンプライアンス: Scribe による来歴生成

この記事は、Viktor Kartashov氏とDaniel Nebenzahl氏と共同執筆しました。監査人のリトマス試験:ビルドを証明できますか?「出荷するすべてのコンテナイメージが、あなたが主張する通りに構築されたことを、明確に証明できますか?」多くの監査人は、何週間もかけて慌ただしくYAMLをリファクタリングするのではなく、迅速かつ確信に満ちた回答を期待しています。SLSA(サプライチェーンレベル)は[…]

続きを読む
サイバーリスク
マイキー・ストラウス Scribe SecurityによるSP 800–190継続的コンテナコンプライアンスの達成

Viktor Kartashovとの共著。NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供し、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、課題も増えています。しかし、ここでのSP 800–190は単なるユースケースに過ぎません。より大きな考え方は、[…]

続きを読む
サイバーリスク
ダニー・ネベンザール In-Toto が CNCF に卒業: ソフトウェア サプライ チェーンのセキュリティ確保を容易に

in-totoとは何か、そしてどのようにソフトウェアサプライチェーンを保護するのか?近年見られる3CX、Codecov、Solarwindsといったソフトウェアサプライチェーン攻撃は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これを受けて、オープンソースコミュニティは、ソフトウェアデリバリーのあらゆる段階で整合性を確保するためのフレームワークであるin-totoを開発しました。in-toto […]

続きを読む
サイバーリスク
ダニー・ネベンザール Scribe Security のポリシー・アズ・コード・ガードレールが、あらゆるタイプの開発者によってもたらされる SDLC リスクを抑制する方法

今日のソフトウェア開発環境では、開発者のプロファイルの多様性は強みであると同時に弱点でもあります。添付の​​分類法は、善意ではあるものの不完全な「優良開発者」から、AI 生成コードを使用する「市民開発者」、さらには「悪意のある開発者」まで多岐にわたり、経験、意図、行動のさまざまなレベルが、ソフトウェア開発ライフサイクル (SDLC) に重大なリスクをもたらす可能性があることを浮き彫りにしています。Scribe Security は […]

続きを読む
未分類
ルビ・アルベル NCCoE と連携してソフトウェア サプライ チェーンと DevOps セキュリティを強化

Scribe Security では、サイバーセキュリティの将来はソフトウェア サプライ チェーンを内側から保護することにかかっていると考えています。そのため、私たちは National Cyber​​security Center of Excellence (NCCoE) のソフトウェア サプライ チェーンと DevOps セキュリティ プラクティス プロジェクトに協力できることを誇りに思っています。このイニシアチブでは、公共部門と民間部門の技術貢献者が集まり、どのように […]

続きを読む
1 2 3 ... 7
人気の投稿
プロアクティブなパイプラインセキュリティ:ScribeによるOWASPトップ10 CI/CDリスクの適用Scribe MCPでセキュリティデータと対話する継続的な保証からエージェント型アプリケーションセキュリティへ:セキュリティがスピードに追いつくまでのストーリーAI コード、AI 修正: 自動化により、作成されたものを保護できますか?
カテゴリー
お問い合わせ