우리 블로그

XZ Utils(CVE-2024-3094) 백도어란 무엇입니까? 2024년 3094월 초에 공개된 CVE-2024-XNUMX는 Linux 유틸리티에 악의적으로 삽입된 백도어입니다. 이는 호기심이 많고 보안에 대해 잘 알고 있는 Microsoft 소프트웨어 엔지니어인 Andres Freund가 주요 Linux 배포판에 통합되기 직전에 이를 발견했습니다. 이것이 성공했다면, 상상할 수 없을 만큼 많은 서버가 […]

다음 이사회 회의를 상상해 보세요. 조직의 보안 리더인 당신은 위험, 완화 및 사고에 대한 표준 자료를 제시할 것입니다. 그런 다음 이사회 구성원 중 한 명이 다음과 같이 질문할 것입니다. 회사에서 이미 사용하고 있는 새로운 AI 기술과 MLOps 파이프라인을 보호하기 위해 어떻게 준비하고 있습니까? 당신의 대답은 다음과 같습니다. AI […]

Valint의 강력한 기능에 대해 자세히 알아보는 블로그 시리즈의 두 번째 부분에 다시 오신 것을 환영합니다. 이 기사에서는 Valint의 정책 엔진과 공급망 전체의 규정 준수를 보장하는 중추적인 역할에 중점을 둘 것입니다. 이전 블로그 게시물에서 Valint의 디자인 원칙에 대한 개요를 제공했습니다. 정책 엔진이 어떻게 […]

애플리케이션의 복잡성이 증가하고 보안 위협이 확산됨에 따라 소프트웨어 애플리케이션의 보안을 보장하는 것이 조직에 중요한 과제가 되었습니다. ASPM(애플리케이션 보안 상태 관리)은 이러한 문제에 대한 솔루션으로 등장하여 가시성 향상, 취약성 관리, 소프트웨어 개발 수명주기 전반에 걸쳐 보안 제어 강화를 위한 프레임워크를 제공합니다. […]

CI/CD 파이프라인 내부에서 발생하는 세부 사항은 매우 불투명합니다. 지침의 파이프라인 목록인 YAML 구성 파일을 작성했음에도 불구하고 모든 일이 설명된 대로 정확히 발생한다고 어떻게 확신할 수 있습니까? 더 나쁜 것은 대부분의 파이프라인이 완전히 일시적이기 때문에 오작동이 발생하더라도 […]

SSDF(Secure Software Development Framework), AKA NIST SP800-218은 특히 소프트웨어 공급망 보안과 관련하여 미국의 사이버 보안 태세를 강화하는 데 초점을 맞춘 행정 명령 14028에 대응하여 NIST에서 개발한 일련의 지침입니다. SSDF는 표준이 아닌 모범 사례 프레임워크입니다. 특히 다음과 같은 조직과 관련이 있지만 [...]

배경 SLSA(소프트웨어 아티팩트에 대한 공급망 수준)는 변조 방지, 무결성 향상, 패키지 및 인프라 보안을 목표로 하는 보안 프레임워크입니다. SLSA의 핵심 개념은 소프트웨어 아티팩트가 세 가지 요구 사항을 준수하는 경우에만 신뢰할 수 있다는 것입니다. 아티팩트에는 원본과 구축 프로세스를 설명하는 출처 문서가 있어야 합니다. [...]

״소프트웨어 공급업체는 소비자, 기업 또는 중요 인프라 제공자 ״(백악관)에게 빚진 관리 의무를 이행하지 못할 때 책임을 져야 합니다. 오늘날 모든 소프트웨어 제공업체는 계약 합의, 소프트웨어 릴리스 및 업데이트, 알림 및 […]을 통해 소프트웨어의 무결성과 보안을 보장하는 데 더 큰 책임을 져야 합니다.

TL;DR 최근 몇 년 동안 기술 업계에서는 소프트웨어 개발에서 "왼쪽으로 이동"이라는 개념을 열렬히 옹호하면서 보안 관행을 개발 수명 주기에 조기에 통합할 것을 옹호했습니다. 이 움직임은 개발자에게 프로젝트 시작부터 코드 보안을 보장할 책임을 부여하는 것을 목표로 합니다. 그러나 이러한 접근 방식의 의도는 […]

업계에서는 아직 SBOM에 대한 아이디어를 완전히 이해하지 못했고, 우리는 이미 ML-BOM(머신 러닝 자재 명세서)이라는 새로운 용어를 듣기 시작했습니다. 당황하기 전에 이러한 BOM을 생성해야 하는 이유, ML-BOM 생성의 어려움, ML-BOM의 모양을 이해해 보겠습니다. […]