XZ Utils (CVE-2024-3094) バックドアとは何ですか? 2024 年 3094 月初めに公開された CVE-2024-XNUMX は、Linux ユーティリティに悪意を持って挿入されたバックドアです。これは、好奇心旺盛でセキュリティ意識の高い Microsoft ソフトウェア エンジニアである Andres Freund によって、主要な Linux ディストリビューションに統合される寸前に発見されました。これが成功していれば、想像を絶する数のサーバーが […]
続きを読む次の取締役会を想像してみてください。組織のセキュリティ リーダーであるあなたは、リスク、緩和策、およびインシデントを含む標準デッキを提示します。次に、取締役会のメンバーの 1 人が「新しい AI テクノロジーと会社がすでに使用している MLOps パイプラインを保護するための準備はどのようにしていますか?」と尋ねます。これがあなたの答えです。 AI […]
続きを読むブログ シリーズの第 2 部へようこそ。ここでは、Valint の強力な機能をさらに詳しく掘り下げます。この記事では、Valint のポリシー エンジンと、サプライ チェーン全体でのコンプライアンスを確保する上でのその重要な役割に焦点を当てます。前回のブログ投稿では、Valint の設計原則の概要を説明しました。ポリシー エンジンのしくみ […]
続きを読むアプリケーションの複雑化とセキュリティ脅威の蔓延に伴い、ソフトウェア アプリケーションのセキュリティを確保することが組織にとって大きな課題となっています。 Application Security Posture Management (ASPM) は、これらの課題の解決策として登場し、可視性の向上、脆弱性の管理、ソフトウェア開発ライフサイクル全体にわたるセキュリティ制御の強化のためのフレームワークを提供します。 […]
続きを読むCI/CD パイプライン内で何が起こっているかの詳細は、悪名高いほど不透明です。命令のパイプライン リストである YAML 構成ファイルを作成したにもかかわらず、すべてが記述どおりに正確に行われることをどうやって確認できるのでしょうか?さらに悪いことに、パイプラインの大部分は完全に一時的なものであるため、故障が発生した場合でも、[…]
続きを読むセキュア ソフトウェア開発フレームワーク (SSDF)、別名 NIST SP800-218 は、大統領令 14028 に応じて NIST によって開発された一連のガイドラインであり、特にソフトウェア サプライ チェーン セキュリティに関する米国のサイバーセキュリティ体制の強化に焦点を当てています。 SSDF はベスト プラクティスのフレームワークであり、標準ではありません。特に次のような組織に関連しますが、[…]
続きを読む背景 SLSA (Supply-chain Levels for Software Artifacts) は、改ざんの防止、整合性の向上、パッケージとインフラストラクチャの保護を目的としたセキュリティ フレームワークです。 SLSA の中核となる概念は、ソフトウェア アーティファクトは、次の 3 つの要件を満たしている場合にのみ信頼できるというものです。 アーティファクトには、その起源と構築プロセスを説明する来歴文書が必要です […]
続きを読むソフトウェア ベンダーは、消費者、企業、または重要なインフラストラクチャ プロバイダー (ホワイト ハウス) に対して負う注意義務を果たさない場合、責任を負わなければなりません。今日、ソフトウェア プロバイダーは、契約上の合意、ソフトウェアのリリースとアップデート、通知などを通じてソフトウェアの完全性とセキュリティを確保することに対して、より大きな責任を負うことが期待されています。
続きを読むTL;DR 近年、テクノロジー業界はソフトウェア開発における「シフトレフト」の概念を熱心に支持し、セキュリティ慣行を開発ライフサイクルに早期に統合することを提唱しています。この動きは、プロジェクトの開始時からコードのセキュリティを確保する責任を開発者に与えることを目的としています。ただし、このアプローチの背後にある意図は次のとおりです […]
続きを読む業界はまだ SBOM の概念を完全には理解していませんが、すでに ML-BOM (機械学習部品表) という新しい用語を耳にし始めています。パニックが始まる前に、なぜこのような BOM を作成する必要があるのか、ML-BOM を生成する際の課題、およびそのような ML-BOM がどのようなものかを理解しましょう。 […]
続きを読む