ブログ

サイバーリスク
ダニー・ネベンザール AI コード、AI 修正: 自動化により、作成されたものを保護できますか?

Vibeコーディングプロジェクトに脆弱性が潜んでいる!AIを活用したソフトウェア開発は、SFから現実のものとなりました。AIでコーディングしたプロジェクトは完璧に動作するかもしれません…ハッカーが欠陥を見つけるまでは。この記事では、AIが生成したコードに欠陥や脆弱性が多数含まれていたとしても、信頼できる製品になるまでの道のりを、具体的な手順を追って解説します。[…]

続きを読む
サイバーリスク
ダニー・ネベンザール セキュリティ上の発見事項が業務の遅延を引き起こす前に修正する:Remus – ScribeのAI自動修復の仕組み

開発者の負担を想像してみてください。一日中コーディングに追われ、締め切りが迫り、そして恐ろしいSASTレポートが届きます。何百もの発見事項、それぞれが潜在的な脆弱性であり、細心の注意を払う必要があります。このプロセスは反復的で時間がかかり、正直に言って、時には士気をくじくほどの単調な作業です。そして状況は悪化するばかりです。コード生成は[…]

続きを読む
サイバーリスク
マイキー・ストラウス 大規模な SLSA コンプライアンス: Scribe による来歴生成

この記事は、Viktor Kartashov氏とDaniel Nebenzahl氏と共同執筆しました。監査人のリトマス試験:ビルドを証明できますか?「出荷するすべてのコンテナイメージが、あなたが主張する通りに構築されたことを、明確に証明できますか?」多くの監査人は、何週間もかけて慌ただしくYAMLをリファクタリングするのではなく、迅速かつ確信に満ちた回答を期待しています。SLSA(サプライチェーンレベル)は[…]

続きを読む
サイバーリスク
マイキー・ストラウス Scribe SecurityによるSP 800–190継続的コンテナコンプライアンスの達成

Viktor Kartashovとの共著。NIST SP 800–190規格は、コンテナ化されたアプリケーションのセキュリティを確保するための構造化されたガイドラインを提供し、イメージの出所からランタイム制御まで、あらゆる側面を網羅しています。急速に変化するDevOps環境でコンテナの利用が急増するにつれ、これらの要件への準拠は不可欠であると同時に、課題も増えています。しかし、ここでのSP 800–190は単なるユースケースに過ぎません。より大きな考え方は、[…]

続きを読む
サイバーリスク
ダニー・ネベンザール In-Toto が CNCF に卒業: ソフトウェア サプライ チェーンのセキュリティ確保を容易に

in-totoとは何か、そしてどのようにソフトウェアサプライチェーンを保護するのか?近年見られる3CX、Codecov、Solarwindsといったソフトウェアサプライチェーン攻撃は、従来の開発パイプラインの脆弱性を浮き彫りにしました。これを受けて、オープンソースコミュニティは、ソフトウェアデリバリーのあらゆる段階で整合性を確保するためのフレームワークであるin-totoを開発しました。in-toto […]

続きを読む
サイバーリスク
ダニー・ネベンザール Scribe Security のポリシー・アズ・コード・ガードレールが、あらゆるタイプの開発者によってもたらされる SDLC リスクを抑制する方法

今日のソフトウェア開発環境では、開発者のプロファイルの多様性は強みであると同時に弱点でもあります。添付の​​分類法は、善意ではあるものの不完全な「優良開発者」から、AI 生成コードを使用する「市民開発者」、さらには「悪意のある開発者」まで多岐にわたり、経験、意図、行動のさまざまなレベルが、ソフトウェア開発ライフサイクル (SDLC) に重大なリスクをもたらす可能性があることを浮き彫りにしています。Scribe Security は […]

続きを読む
未分類
ルビ・アルベル NCCoE と連携してソフトウェア サプライ チェーンと DevOps セキュリティを強化

Scribe Security では、サイバーセキュリティの将来はソフトウェア サプライ チェーンを内側から保護することにかかっていると考えています。そのため、私たちは National Cyber​​security Center of Excellence (NCCoE) のソフトウェア サプライ チェーンと DevOps セキュリティ プラクティス プロジェクトに協力できることを誇りに思っています。このイニシアチブでは、公共部門と民間部門の技術貢献者が集まり、どのように […]

続きを読む
サイバーリスク
ドロン・ペリ GitHub を超えた SDLC、サプライ チェーンのセキュリティとコンプライアンス

ほとんどのソフトウェア組織は、コード管理、ビルド、レジストリ、配信、および展開に複数のプラットフォームを使用しています。SDLC とソフトウェア サプライ チェーンのセキュリティを管理するには、GitHub のネイティブ機能を超える統合プラットフォームが必要です。効果的なリスク管理には、コードからクラウドまでの明確なトレーサビリティとガバナンスが必要です。つまり、すべてのコンテナ イメージとリリースされた成果物が […] にリンクされていることを確認する必要があります。

続きを読む
サイバーリスク
ダニー・ネベンザール 新しい連邦ソフトウェア セキュリティ EO 14144 を理解して遵守する: 実践ガイド

連邦政府のソフトウェア セキュリティの状況は、大きな変化を遂げています。2025 年 XNUMX 月、ホワイト ハウスは、連邦政府機関が使用するサードパーティ ソフトウェア サプライ チェーンのセキュリティと透明性を強化することに重点を置いた新しい大統領令を発行しました。この命令は、特に次のことを考慮すると、ソフトウェア プロバイダーが理解し、準備する必要がある重要な変更を導入します。[…]

続きを読む
サイバーリスクコードの上に虫眼鏡の画像
ダニー・ネベンザール SDLC 全体に SBOM を統合する方法

急速に進化する今日のソフトウェア開発環境では、セキュリティとコンプライアンスが最重要事項となっています。組織がサードパーティのコンポーネントやオープンソース ソフトウェアにますます依存するようになるにつれ、ソフトウェアの内部構造を理解することがこれまで以上に重要になっています。そこで登場するのがソフトウェア部品表 (SBOM) です。これは、ソフトウェアを構成するすべてのコンポーネント、ライブラリ、依存関係の詳細なリストです。SBOM を統合すると […]

続きを読む
1 2 3 ... 7