CVE (共通脆弱性および暴露) スキャンは、ソフトウェア アプリケーションを保護するために不可欠です。ただし、ソフトウェア スタックの複雑さが増すにつれて、すべての CVE を特定して対処することが困難になる場合があります。現在の CVE スキャンに関する最大の問題の 1 つは、誤検知の蔓延です。誤検知では、パッケージ内で脆弱性が特定されません […]
続きを読む2023 年 5 月、ホワイトハウスは新しい国家サイバーセキュリティ戦略を発表しました。この戦略は、公共部門と民間部門の両方のすべてのアメリカ人のサイバーセキュリティを向上させるためにホワイトハウスが重要であると考えるXNUMXつの柱のリストを概説しています。 XNUMX 番目の柱は、セキュリティと回復力を向上させるために市場の力を形成する推進力を扱います。その一部 […]
続きを読む2023 年 9 月、CISA は、「サイバーセキュリティ リスクのバランスのシフト: 設計によるセキュリティとデフォルトの原則」と呼ばれるソフトウェア セキュリティに関する新しい共同ガイドをリリースしました。このガイドは、NSA、オーストラリア サイバー セキュリティ センター (ACSC)、ドイツ連邦情報セキュリティ局 (BSI) など、XNUMX つの異なる機関の協力を得て作成されました。事実 […]
続きを読む20月1日、OpenAIは人気の生成AIツールChatGPTを数時間にわたって閉鎖した。その後、障害の原因はオープンソースのインメモリデータストアライブラリ「Redis」に起因するソフトウェアサプライチェーンの脆弱性だったと認めた。この脆弱性の結果、時間枠が発生しました (午前 10 時から午前 XNUMX 時まで […]
続きを読む2023 年 XNUMX 月、DHS、CISA、DOE、CESER は「ソフトウェア部品表 (SBOM) 共有ライフサイクル レポート」というタイトルのレポートを発表しました。このレポートの目的は、人々が SBOM を共有している現在の方法を調査し、一般的に、この共有をより洗練された方法でより適切に行う方法を概説することでした。
続きを読む誰もが徐々に意識を高めているため、ソフトウェア サプライ チェーンの保護は、あらゆる組織のサイバー セキュリティ戦略の重要な部分となるはずです。ソフトウェア サプライ チェーンの脅威を軽減するための包括的な戦略を作成する際の主な困難の 1 つは、サプライ チェーンの複雑さと多様性です。各サプライチェーンは独自であり、その要素は […]
続きを読む2023 年 3 月下旬、セキュリティ研究者は、XNUMXCX のビジネス コミュニケーション ソフトウェア (主に同社の音声およびビデオ通話デスクトップ アプリ) に対する脅威アクターによる複雑なソフトウェア サプライ チェーン攻撃を暴露しました。研究者らは、このアプリは何らかの形でトロイの木馬化されており、これを使用すると組織が脅威アクターによる窃盗計画にさらされる可能性があると警告した。 […]
続きを読むCI/CD パイプラインは、内部で正確に何が行われているかが不透明であることで知られています。たとえ YAML 構成ファイル (命令のパイプライン リスト) を作成したのはあなただったとしても、すべてが記述どおりに正確に行われることをどうやって確認できるでしょうか?さらに悪いことに、ほとんどのパイプラインは完全に一時的なものであるため、たとえ何か悪いことが起こっても、何も起こりません。
続きを読むOpenSSL は、コンピュータ ネットワーク上で安全な通信を実装するために広く使用されているオープンソース ソフトウェア ライブラリです。どのくらい広く使われていますか?そうですね、HTTPS Web ページにアクセスしたことがある場合は、OpenSSL 暗号化を介してアクセスした可能性があります。このライブラリは、データの暗号化、復号化、認証、デジタル署名検証のための暗号化機能とプロトコルを提供します。 OpenSSL は […]
続きを読むハードウェア製品とソフトウェア製品の両方に対するサイバー攻撃が驚くほど頻繁になっています。 Cybersecurity Ventures によると、7 年にサイバー犯罪による世界の被害額は推定 2022 兆ドルに達します。これほど高額な費用がかかるため、企業と政府の両方が注目するのも不思議ではありません。米国は大統領大統領令で先導した […]
続きを読む